@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Legal Compliance Integrata di Nicola Tilli - @ Intelligenza artificiale e robotica di Bruno Tassone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature
Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone
Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo
Il comitato di referaggio Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti
Diritto di Internet 3 2020
Gli osservatori on line <www.dirittodiinternet>
Direttore scientifico Giuseppe Cassano Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Michele Caianiello Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Nicola Pisani Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini
Diritto di INTERNET
Digital Copyright e Data Protection RIVISTA TRIMESTRALE
2020 3
Pacini
DIRITTO DI INTERNET • ANNO II
SOMMARIO ■ SAGGI LA SORTE DEL PATRIMONIO DIGITALE NELLA SUCCESSIONE AB INTESTATO di Alessandro d’Arminio Monforte
381
LA DISCIPLINA PENALE DEGLI USI ED ABUSI DELLE VALUTE VIRTUALI di Rosa Maria Vadalà
397
LA NUOVA DISCIPLINA DELL’USO TRASVERSALE DELLE INTERCETTAZIONI: UN NODO ARDUO DA SCIOGLIERE di Jacopo Della Torre
413
■ GIURISPRUDENZA EUROPEA I PROFILI DI RESPONSABILITÀ DI AMAZON SULLA BASE DELLA DIRETTIVA E-COMMERCE Corte di Giustizia dell’Unione Europea; sentenza 2 aprile 2020; C-567/18 commento di Alessandro La Rosa
429 435
CIVILE SULLE STRATIFICAZIONI DEL DIRITTO ALL’OBLIO: QUANDO SÌ E COME Corte di Cassazione; sezione I civile; sentenza 27 marzo 2020, n. 7559 commento di Roberto Pardolesi e Camilla Scarpellino
439 454
LA MALAFEDE IMPEDISCE LA CONVALIDA E RENDE ILLECITO L’USO DEL MARCHIO REGISTRATO ANCHE COME NOME A DOMINIO Corte di Cassazione; sezione I civile; ordinanza 21 febbraio 2020, n. 4721 465 commento di Monica Riva 467 LA “BOCCIATURA” DEL SISTEMA DI DATA MINING “SAVIO” UTILIZZATO DALL’INPS Tribunale di Roma; sezione XVII civile; sentenza 3 aprile 2020, n. 4692 commento di Filippo Castagna
473 475
PENALE LA TUTELA PENALE DEL PATRIMONIO INFORMATIVO AZIENDALE TRA APPROPRIAZIONE INDEBITA DI FILE E “PRESA DI CONOSCENZA” DI INFORMAZIONI Corte di Cassazione; sezione II penale; sentenza 10 aprile 2020, n. 11959 commento di Jean-Paule Castagno e Andrea Alfonso Stigliano
485 489
CHAT E VIDEO-CHAT: QUANDO LA DIFFAMAZIONE È ON LINE? Corte di Cassazione; sezione V penale; sentenza 31 marzo 2020, n. 10905 commento di Francesco Giuseppe Catullo
497 498
LO SCREENSHOT QUALE PROVA DOCUMENTALE: REGOLE ACQUISITIVE E GARANZIE DI AFFIDABILITÀ Corte di Cassazione; sezione II penale; sentenza 2 marzo 2020, n. 8332 commento di Giulia Fiorelli
503 504
DIRITTO DI INTERNET N. 3/2020
379
DIRITTO DI INTERNET • ANNO II AMMINISTRATIVA LE GARE TELEMATICHE E LA TUTELA DEI PRINCIPI FONDAMENTALI: QUALE BILANCIAMENTO? Consiglio di Stato; sezione III; sentenza 24 febbraio 2020, n. 1350 commento di Francesco Oliverio
511 514
LA «COMPRAVENDITA» DI DATI PERSONALI? T.a.r. Lazio, Roma; sentenza 10 gennaio 2020, n. 260 T.a.r. Lazio, Roma; sentenza 10 gennaio 2020, n. 261 commento di Fabio Bravo
521 525 531
■ PRASSI
380
ALGORITMI E SEARCH ENGINE MARKETING: IL CASO GOOGLE ADS. ASPETTI OPERATIVI E RICADUTE GIURIDICHE di Gianluigi Passarelli
541
IL FASCICOLO SANITARIO ELETTRONICO NEL SISTEMA DELL’AGENDA DIGITALE ITALIANA di Alfonso Contaldo e Francesca Zambuco
551
PROFILI DI TUTELA DELLE AZIENDE AL TEMPO DEL CORONAVIRUS di Andrea Gentile
561
DIRITTO DI INTERNET N. 3/2020
SAGGI
La sorte del patrimonio digitale nella successione ab intestato di Alessandro d’Arminio Monforte Sommario: 1. Il diritto delle successioni nell’era digitale 2. L’ eredità digitale e le relative problematiche successorie 3. I digital asset oggetto di successione e il loro contenuto 4. I beni digitali a contenuto patrimoniale e non patrimoniale 4.1. Le criptovalute 4.2. I beni tutelati dalla legge sul diritto d’autore: le opere creative dell’ingegno e gli scritti personali 5. Gli account 6. Le credenziali di accesso e protezione del patrimonio digitale 7. I supporti di memorizzazione 8. La trasmissione mortis causa dei diritti sul patrimonio digitale nella successione ab intestato 8.1. Modalità di acquisizione dei beni digitali custoditi nei supporti di memorizzazione fisici 8.2. Modalità di acquisizione del possesso dei beni digitali custoditi negli account e la successione nel contratto ad esso sotteso 8.3. L’acquisizione del possesso della criptovaluta detenuta dal defunto 9. Le regole di trasmissione mortis causa del patrimonio digitale 10. La trasmissione mortis causa dei diritti sui supporti fisici di proprietà del de cuius. Le successioni ereditarie sono state da sempre concepite come un fenomeno circoscritto a beni materiali o, al più, immateriali. La rivoluzione tecnologica ha, tuttavia, mutato radicalmente la realtà sociale e creato una nuova categoria di cespiti oggetto di successione ereditaria: i beni digitali. Criptovalute, messaggi di posta elettronica, password, fotografie, video e musica digitali, account, programmi per elaboratore, siti web, blog, e-books, contratti stipulati on-line e, in generale, documenti informatici (a contenuto patrimoniale o personale) sono divenuti un asset fondamentale del nostro patrimonio. Seppur le regole sulla successione ereditaria restino inalterate, la successione ab intestato nel patrimonio digitale si rivela estremamente complessa non solo per le caratteristiche stesse dei cespiti digitali, bensì anche per le problematiche informatico-giuridiche riconducibili ora alla presenza di credenziali di protezione apposte dal defunto (e a lui solamente note), ora al contratto di fornitura del servizio digitale sottoscritto dal defunto stesso. Inheritance has always been conceived as a phenomenon limited to material or, at most, non-material goods. However, the technological revolution has radically changed social reality and created a new category of assets subject to inheritance: the so-called digital assets. Cryptocurrencies, e-mail messages, passwords, photographs, digital videos and music, accounts, computer programs, websites, blogs, e-books, contracts signed online and, in general, IT documents (with an economic or personal content) have become vital components of our assets. Although the rules on inheritance remain unchanged, the inheritance of digital assets is extremely complex, not only for their very characteristics but also for IT-legal problems which are either related to the presence of protection credentials used by the deceased (and known only by him), either to the contract for the supply of digital services which is signed by the same deceased.
1. Il diritto delle successioni nell’era digitale
(1) Cfr. Cassano, Diritto dell’Internet. Il sistema di tutele della persona, Milano, 2005, 1 e Sartor, L’informatica giuridica e le tecnologie dell’informazione. Corso di informatica giuridica, Torino, 2016, 1.
La rivoluzione tecnologica in atto, come tutte le grandi rivoluzioni che l’hanno preceduta, è stata (ed è) foriera di nuovi bisogni, interessi e conflitti, che hanno richiesto (e richiederanno in futuro) l’intervento del diritto, la cui finalità è garantire la pacifica convivenza tra persone, stabilendo anticipatamente i comportamenti da proibire e comminando le sanzioni per il mancato rispetto delle regole (3). Se è vero che la tecnologia ha già pervaso molti ambiti del diritto civile (e di tanti altri settori del diritto), è altrettanto vero però che il diritto delle successioni è, tra tutti, quello che è stato meno coinvolto dal sovvertimento tecnologico in atto. Seppur sia evidente che i beni digitali - a contenuto patrimoniale, ma anche non patrimoniale - siano divenuti
(2) Cfr. Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017, 44; Cfr. Canali, Recensione a “La rivoluzione dell’informazione di Luciano Floridi”, in Rivista Italiana di Filosofia Analitica Junior, 4:1, 2013, 1; Sartor, L’informatica giuridica e le tecnologie dell’informazione. Corso di informatica giuridica, cit., 1.
(3) Cfr. d’Arminio Monforte, La successione nel patrimonio digitale, Pisa, 2020, 22.
Lo sviluppo tecnologico dell’ultimo mezzo secolo e la sua pervasività hanno scandito il passaggio dalla “società industriale” alla “società dell’informazione” andando a mutare profondamente le relazioni sociali (1). La trasformazione della società, ormai dominata da macchine computazionali sempre più autonome e intelligenti, ha creato una nuova dimensione, composta da “bit” e da reti interconnesse, che si è soliti definire “infosfera” (2) o, più comunemente, “cyberspazio”.
DIRITTO DI INTERNET N. 3/2020
381
SAGGI un asset fondamentale del patrimonio ereditario (4) e che siano già (potenzialmente) utilizzabili le tecnologie informatiche per adattare istituti antichi (quale il testamento) all’ambiente digitale, attualmente il nostro sistema giuridico non contempla il fenomeno della successione digitale mortis causa. La ritrosia del legislatore ad intervenire nel diritto delle successioni deriva, ragionevolmente, dalle caratteristiche proprie della materia che, infatti, si è sempre contraddistinta per un formalismo e una sacramentalità (apparentemente) irriproducibili con le nuove tecnologie (5). Oggi tuttavia il diritto si trova a dover necessariamente dare risposta a una domanda fondamentale, ovvero come disciplinare il passaggio intergenerazionale non solo dei beni materiali di un individuo, bensì anche del suo patrimonio digitale e, dunque, di tutti i beni digitali di valore patrimoniale (quali le criptovalute, i software, ecc.) e non patrimoniale (quali i dati immessi in rete, le e-mail, le foto di famiglia, ecc.), degli account e dei contratti ad esso collegati.
2. L’eredità digitale e le relative problematiche successorie
Il processo di circolazione del patrimonio di una persona viene definito, sul piano tecnico-giuridico, con il termine “eredità” e attiene primariamente alle dinamiche di attribuzione della ricchezza materiale (6). Se al termine eredità viene accostato l’aggettivo “digitale”, lo sviluppo omogeneo di tale processo viene stravolto in ragione di quelle caratteristiche tipiche delle nuove tecnologie capaci di incidere sulla capacità regolativa delle norme civilistiche, in generale, e di quelle successorie, in particolare (7). Il fenomeno, che ricade comunemente sotto il nome di “eredità digitale”, è invero un processo estremamente complesso che richiede il necessario adattamento di regole consolidatesi nel tempo al trasferimento di beni immateriali nuovi (i beni digitali) e di diritti che si caratterizzano per problematiche (quali la presenza di credenziali di accesso) un tempo imponderabili. Quanto si afferma è dimostrato dai casi giurisprudenziali, meglio infra esposti, che hanno portato alla nascita di quello che potremmo definire un nuovo istituto giuridico: la successione nel patrimonio digitale.
Il 13 novembre 2004 un giovane marine americano di nome Justin Ellsworth morì violentemente in Iraq. La maggior parte dei contatti con i suoi cari era solito avvenire attraverso la posta elettronica e, per tale ragione, successivamente alla sua morte, i genitori del ragazzo richiesero al provider di posta elettronica Yahoo! di poter avere accesso all’account del figlio ove erano memorizzate non solo le conversazioni intercorse (8), bensì ove avrebbero potuto essere contenuti altri dati, anche di natura patrimoniale, parte del patrimonio ereditario del medesimo. Yahoo!, nonostante i genitori di Justin fossero anche i suoi eredi, respinse la richiesta di accesso fondando il proprio diniego su due elementi: da un lato, il contratto di servizio sottoscritto elettronicamente da Justin era munito di una clausola di “no right of survivorship and no trasferability” (9) in forza della quale l’account non poteva essere trasferito e ogni diritto sullo stesso e sui suoi contenuti sarebbe cessato con la morte del contraente; dall’altro lato, lo stesso contratto prevedeva un’altra clausola per la quale il provider non avrebbe potuto comunicare a terze persone informazioni contenute nell’account, salvo un ordine giudiziale (10). I genitori di Justin convennero in giudizio Yahoo! sostenendo che la casella di posta elettronica doveva essere equiparata ad una cassetta di sicurezza i cui contenuti avrebbero dovuto ricadere nell’asse ereditario (11). Dopo un lungo iter giudiziario, gli eredi di Justin ottennero dalla Probate Court della contea di Oakland County (12) la consegna su CD delle sole e-mail ricevute dal figlio, ma non la password per poter accedere all’account (13). Era nata la c.d. “eredità digitale” e per la prima volta era sorto il problema della trasmissione mortis causa dei digital assets (14) appartenuti al defunto.
(8) Cfr. Sasso, Privacy post mortem e “successione digitale”, in Aa. Vv. Privacy Digitale, Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di Tosi, Milano, 2019, 559 ss.; Cfr. Sasso, La tutela dei dati personali “digitali” dopo la morte dell’interessato (alla luce del Regolamento UE 679/2016), in Dir. succ. e fam., 2019, 185. (9) Cfr. Serena, Eredità digitale, in Aa. Vv. Identità ed eredità digitali, stato dell’arte e possibili soluzioni, Ariccia (RM), 2016, 111. (10) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 53 ss.
(4) Cfr. Marino, La successione digitale, in Oss. dir. civ. e comm., 2018, 1. (5) Cfr. Sasso, Il formalismo testamentario nell’era digitale tra Stati Uniti e Italia, in Rass. dir. civ., 2018, 186.
382
(11) Cfr. Resta, La morte digitale, in Dir. inf. e inform., 2014, 898. (12) In re Ellsworth, No. 2005 – 296, 651, DE (Mich. Prob. Ct. 2005); Sasso, Privacy post mortem e “successione digitale”, cit., 560.
(6) Cfr. Camardi, L’eredità digitale tra reale e virtuale, in Dir. inf. e inform., 2018, 65; Cfr. Mastroberardino, Il patrimonio digitale, Napoli, 2019, 23.
(13) Cfr. Ziccardi, Il libro digitale dei morti, memoria, lutto, eternità e oblio nell’era dei social network, Torino, 2017, 101; Resta, La morte digitale, cit., 898.
(7) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 53.
(14) Sasso, Privacy post mortem e “successione digitale”, cit., 561.
DIRITTO DI INTERNET N. 3/2020
SAGGI Nel tempo si sono succeduti altri contenziosi di tal specie, ma su uno in particolare è opportuno soffermarsi per meglio comprendere lo stato dell’arte e le soluzioni prospettate dalla giurisprudenza: trattasi del caso di una giovane ragazza tedesca morta, probabilmente suicida, nella metropolitana di Berlino (15). I genitori, anche in questo caso unici eredi della giovane, intenzionati ad ottenere copia dei contenuti del profilo Facebook della figlia sia per escludere ogni dubbio sull’ipotesi di suicidio, sia per reperire elementi utili a difendersi nel preannunciato giudizio da parte del macchinista del treno, avanzarono motivata istanza di accesso ai dati personali della defunta al social network (sebbene l’account fosse stato reso “commemorativo” dallo stesso Facebook in seguito alla pubblicazione della notizia della scomparsa della ragazza). A fronte del diniego all’accesso, i genitori della ragazza convennero in giudizio avanti ai tribunali tedeschi Facebook il quale basò la propria difesa su due presupposti, del tutto simili a quelli portati da Yahoo! a propria difesa nel caso di Justin Ellsworth: da un lato, Facebook assumeva di non poter dar seguito alla richiesta dei genitori in quanto l’account non era suscettibile di trasmissione mortis causa in base alle policy aziendali e alle condizioni generali di contratto sottoscritte in fase di registrazione; dall’altro lato, l’istanza non poteva essere accolta in ragione sia di un divieto di divulgazione dei contenuti previsto dalla legge tedesca, sia del dovere di confidenzialità imposto dal GDPR sia di un dovere di tutela della personalità del defunto (16). Dopo un travagliato iter giudiziario, la domanda dei genitori veniva definitivamente accolta dalla Suprema Corte tedesca (17), la quale ha stabilito almeno tre punti fermi in materia di successione ereditaria digitale che (potenzialmente) risultano applicabili in tutti i casi in cui sia messo a disposizione degli utenti un account. Sinteticamente, la Corte statuisce che: i) i rapporti giuridici relativi ai beni immateriali sono parte del patrimonio del de cuius e, come tali, sono suscettibili di trasmissione ereditaria. Dunque, un account, di qualsiasi natura esso sia, al pari di tutte le altre posizioni contrattuali, è suscettibile di devoluzione e acquisto mortis causa (18); ii) le condizioni sottoscritte dall’utente in generale, oltre che nel caso di specie, sono caratterizzate da una
(15) Mastroberardino, Il patrimonio digitale, cit., 25. (16) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 56. (17) Cfr. Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, in Contr. e impr., 2019, 90. Si veda sul punto BGH, 12 luglio 2018, n. 183/17, in Nuova giur. civ. comm., 2019, 703. (18) Cfr. Mattera, La successione nell’account digitale. Il caso tedesco, in Nuova giur. civ. comm., 2019, 703 ss.
asimmetria contrattuale inaccettabile che neutralizza il principio di universalità della successione e pregiudica i diritti sia dell’utente sia degli eredi che si vedono negato l’accesso all’account (19); iii) la divulgazione agli eredi delle comunicazioni Facebook non è in contrasto né con la legge tedesca in materia di riservatezza delle telecomunicazioni, né con il GDPR. Invero, rispetto alla legge tedesca (come in quella italiana), gli eredi non sono “terze parti” (verso le quali effettivamente vi sarebbe un divieto di divulgazione), in quanto subentrando nella stessa posizione del defunto, divengono nuovi titolari dell’account e compartecipi dei processi comunicativi di memorizzazione e messa a disposizione dei relativi contenuti (20), mentre rispetto al GDPR questo risulta inapplicabile ai dati di una persona defunta (ma semmai alla controparte della conversazione che potrebbe veder lesa la tutela dei suoi dati). In ogni caso, i genitori della ragazza avrebbero avuto diritto ad accedere ai dati della defunta quali eredi della stessa subentrati nel contratto (ex art. 6, par. 1, lett. b) del GDPR), nonché in ragione di uno specifico “legittimo interesse” che avrebbe giustificato la comunicazione (rectius, divulgazione) dei dati da parte di Facebook (21) (ex art. 6, par. 1, lett. f) del GDPR). Le decisioni delle Corti sopra richiamate portano ad una riflessione alla quale il giurista contemporaneo non può sottrarsi: nell’era digitale non assumono più rilevanza ai fini ereditari unicamente gli immobili, le auto, i gioielli, ma altresì tutti i digital assets (le criptovalute, in primis) acquisiti nel corso della vita di un individuo. Se per millenni la quasi la totalità delle successioni ha avuto ad oggetto prevalentemente beni materiali, oggi non è più così. Il patrimonio individuale si è infatti arricchito di altri beni, quelli digitali (22), che entrano a far parte dell’asse ereditario come tutti gli altri e che necessitano anch’essi di essere trasferiti. (23) Nulla qaestio sul punto. Tuttavia, la successione nel patrimonio digitale comporta problematiche che sono peculiari del mondo tecnologico e che non possono essere sottovalutate nel trasferimento intergenerazionale della ricchezza digitale. Tra queste giova ricordare:
(19) Mattera, La successione nell’account digitale. Il caso tedesco, cit., 704. (20) Mattera, La successione nell’account digitale. Il caso tedesco, cit., 705. (21) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 91; Mattera, La successione nell’account digitale. Il caso tedesco, cit., 706. (22) Cfr. Magnani, L’eredità digitale, in Notariato, 2014, 521. (23) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 57.
DIRITTO DI INTERNET N. 3/2020
383
SAGGI a) il bilanciamento d’interessi tra diritti derivanti dall’eredità e diritto alla riservatezza del defunto La successione dei digital assets comporta un difficoltoso coordinamento tra due interessi opposti e confliggenti. Da un lato, vi è infatti l’interesse dei successori ad entrare in possesso dei beni digitali ereditari conservati negli account; dall’altro lato, vi è (il presumibile) interesse del defunto a mantenere riservate le sue informazioni e a non far cadere in successione determinati beni digitali (24). b) l’identificazione del defunto e l’eterogeneità dei beni digitali ad esso riconducibili L’eterogeneità dei beni digitali, per quanto si cerchi una loro categorizzazione in patrimoniali/non patrimoniali, risulta tale da rendere inidonea la pedissequa applicazione delle rispettive regole successorie. Si deve del resto considerare che, come si avrà modo di approfondire, nel patrimonio digitale oggetto di successione vi rientrano beni digitali molto diversi, quali le criptovalute, i software, i contratti di fornitura correlati ai servizi on-line, ma anche i documenti informatici (documenti di testo, foto, video, diari, opere dell’ingegno, ecc.), i messaggi di posta elettronica, i dati memorizzati on-line attraverso gli account (social network, cloud, avatar) e i supporti di memorizzazione fisici (hard disk, CD-ROM, memorie flash, ecc.) che possono avere contemporaneamente natura patrimoniale e non patrimoniale (25). Al problema dell’applicazione della disciplina maggiormente rispondente alla natura del bene si accompagna quello dell’identificabilità, almeno per quanto riguarda il mondo di internet, del titolare del bene digitale e/o dell’account. c) la presenza di credenziali di protezione e di autenticazione La presenza di credenziali (password, username, PIN, impronta digitale, ecc.) applicate dal defunto ora intenzionalmente a protezione dei supporti fisici (hardware wallet, personal computer, tablet, smartphone, ecc.) e/o dei singoli “file” o “carelle”, ora forzatamente a protezione (e autenticazione) dei singoli account (exchange di criptovalute, posta elettronica, cloud, social network, ecc.), nonchè la crittografia dei dati, sono un altro problema che caratterizza la (sola) successione digitale. Le caratteristiche delle credenziali (segretezza, complessità e temporaneità) e la crittografia (incomprensibilità in assenza di una chiave di decifrazione) rendono le probabilità di entrare in possesso del patrimonio digitale
ereditario estremamente rare (se non nulle) in assenza di una strutturata pianificazione successoria o, nel caso degli account, di utilizzo di un servizio apposito messo a disposizione da parte dei fornitori di servizi della società dell’informazione (ad esempio l’inactive account manager di Google). La questione risulta di non poco momento soprattutto per quanto riguarda la disponibilità delle criptovalute. d) l’assenza di strumenti ad hoc per la trasmissione mortis causa del patrimonio digitale Il quarto problema è legato alla mancanza nell’ordinamento italiano (e mondiale in generale) di strumenti morits causa specifici per la successione digitale che garantiscano il rispetto della volontà del de cuius e il contestuale mantenimento della segretezza delle credenziali di accesso ai beni digitali, agli account o ai supporti di memorizzazione (26). e) la presenza di rapporti contrattuali con i provider di servizi Un altro aspetto di ulteriore complessità è quello legato ai rapporti contrattuali con i fornitori di servizi (c.d. provider). Tali rapporti infatti (27): i) sono caratterizzati per essere corredati di condizioni che sono unilateralmente predisposte e, dunque, per non essere mai oggetto di negoziazione con l’utente; ii) sono spesso soggetti alla legge straniera e sottoposti alla giurisdizione del giudice straniero; iii) si distinguono per clausole di intrasmissibilità mortis causa del contratto o per una trasmissibilità caratterizzata da una (ingiusta) limitazione dell’accesso ai servizi in ragione di un asserito rapporto intuitu personae (già) intrattenuto con il contraente defunto o di tutela della sua riservatezza; iv) prevedono spesso la cancellazione dell’account e dei dati ivi contenuti annullando i diritti dei legittimi successori in violazione di norme poste a protezione dei principi supremi dell’ordinamento o a tutela di un interesse pubblico (28). f) le difficoltà di valorizzazione del patrimonio ereditario Vi è poi un problema di valorizzazione economica del patrimonio ereditario. Le criptovalute, quali monete virtuali che non hanno corso legale né sono regolate da enti centrali governativi, ne sono l’esempio più evidente. La questione tuttavia riguarda anche altri beni digitali di natura patrimoniale quali ad esempio siti internet,
(26) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 61. (24) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 58. (25) Cfr. Barba, Contenuto del testamento e atti di ultima volontà, Napoli, 2018, 283; Mastroberardino, Il patrimonio digitale, cit., 7.
384
DIRITTO DI INTERNET N. 3/2020
(27) Magnani, L’eredità digitale, cit., 523. (28) Cfr. Liguori, Eredità digitale. L’esercizio dei diritti dell’interessato deceduto, in Aa. Vv. Identità ed eredità digitali, stato dell’arte e possibili soluzioni, Ariccia (RM), 2016, 79.
SAGGI blog, profili social che, in base alle sponsorizzazioni o alla fiducia che hanno acquisito o ai loro “follower”, possono assumere valori economici elevati, così come il caso di sviluppo di software innovativi o di disegni industriali digitali (ad esempio di un’invenzione brevettabile). Ai fini dell’eventuale collazione dei beni ereditari o di azioni di riduzione, nonché per la liquidazione dell’imposta di successione, la questione assume un’importanza preponderante. g) il possesso dei beni digitali ereditari e l’accettazione tacita dell’eredità Nell’ambito della successione digitale, così come nel caso di successione analogica, il concetto di possesso dei beni (digitali) ereditari si rivela particolarmente insidioso. In relazione al mondo off-line la dottrina e la giurisprudenza (29) si sono espresse per lo più nel senso di considerare valido il possesso pur senza la materiale apprensione dei beni da parte del chiamato in forza del principio secondo cui il possesso si trasferisce ipso iure al chiamato all’eredità. Ai fini dell’accertamento del possesso, paragonare la credenziale alla chiave di una cassaforte, di una macchina o di un immobile può rivelarsi però molto rischioso per le conseguenze che può comportare. Invero, è bene rammentare che il chiamato all’eredità che sia considerato nel possesso dei beni ereditari deve effettuare (rectius, completare) l’inventario dei beni ereditari entro il termine di tre mesi e, peraltro, prestare estrema attenzione alle azioni che compie e ai comportamenti che assume in relazione al patrimonio ereditario al fine di non incorrere in atti che implichino un’accettazione tacita dell’eredità (30).
3. I digital asset oggetto di successione e il loro contenuto
Per comprendere il fenomeno della successione ab intestato nel patrimonio digitale è necessario preliminarmente chiarire di cosa questo si componga. Oggetto della devoluzione mortis causa sono sempre stati beni immobili, denaro, beni mobili, oltre che beni immateriali (tra cui i crediti) e beni materiali, con o senza valore economico. Tuttavia, nell’ultimo decennio, la vita di ciascun individuo è mutata grazie sia alla diffusione di device sempre più piccoli e potenti, sia all’aumento esponenziale di servizi prestati in rete - si pensi alle operazioni bancarie
(c.d. home banking), alla stipula di contratti on-line, all’acquisto di prodotti e servizi (e-commerce), all’archiviazione di dati (i c.d. cloud), alle criptovalute -, ragione per la quale tale assioma non risulta più totalmente vero. La rivoluzione digitale infatti ha provocato un effetto ineludibile dal punto di vista successorio: il patrimonio personale è andato a comporsi di nuovi beni: i beni digitali (31). I beni digitali sono beni rappresentati in formato binario (32) (ovverosia da una serie di 0 e 1), di cui si possiedono i relativi diritti di utilizzo (33), contenuti all’interno di un dispositivo di memorizzazione (fisico o virtuale), che esistono o esisteranno in futuro (34). Sono tali, ad esempio, le criptovalute (Bitcoin, Litecoin, ecc.), i documenti informatici di testo (.doc, .pdf, .txt, ecc.), le immagini (.jpg, jpeg, .bmp, ecc.), i video (.mp4, .avi, ecc.), i programmi per elaboratore, i nomi a dominio, gli e-books, la corrispondenza elettronica (e-mail), i beni compravenduti on-line e, in generale, qualsiasi “dato” che sia stato creato dal defunto o su cui lo stesso poteva vantare un diritto di proprietà esclusivo e assoluto, a prescindere dalla sua incorporazione (o incorporabilità) su un supporto di memorizzazione fisico o virtuale (35).
4. I beni digitali a contenuto patrimoniale e non patrimoniale
I beni digitali devono essere distinti tra loro in base alla natura che li caratterizza. La distinzione patrimoniale/ non patrimoniale, sebbene non risulti idonea a rappre-
(31) Magnani, L’eredità digitale, cit., 521. (32) Si veda sul punto la definizione data dalla Proposta di Direttiva del Parlamento Europeo e del Consiglio “relativa a determinati aspetti dei contratti di fornitura di contenuto digitale”; Marino, La successione digitale, cit., 171. (33) Cfr. Berti e Zanetti, La trasmissione mortis causa del patrimonio e dell’identità digitale: strumenti giuridici, operativi e prospettive de iure condendo, in Law and Media Working Paper Series, n. 18/2016, il testo è disponibile al seguente link <http://www.medialaws.eu/la-trasmissione-mortis-causa-del-patrimonio-e-dellidentita-digitale-strumenti-giuridici-operativi-e-prospettive-de-iure-condendo-working-paper-series-no-182016/>, 4. Sulle criptovalute cfr. Capaccioli, Aspetti operativi e ricadute giuridiche delle cripto-attività, in questa Rivista, 2019, 591.
(29) Cfr. Giannattasio, Delle successioni. Disposizioni generali – Successioni legittime, Torino, 1959, 38; Cfr. Capozzi, Successioni e donazioni, Milano, 2015, I, 116.
(34) Serena, Eredità digitale, cit., 113; Carrol, Digital Assets: A Clearer Definition, The digital Beyond, all’indirizzo <http://www.thedigitalbeyond. com/2012/01/digital-assets-a-clearer-definition/> secondo il quale “bene digitale” o “digital assets” “means, but is not limited to, files, including but not limited to, emails, documents, images, audio, video, and similar digital files which currently exists or may exist as technology develops or such comparable items as technology develops, stored on digital devices, including, but not limited to, desktops, laptops, tablets, peripherals, storage devices, mobile telephones, smartphones, and any similar digital device which currently exists or may exist as technology develops or such comparable items as technology develops, regardless of the ownership of the physical device upon which the digital asset is stored.”
(30) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 64.
(35) Camardi, L’eredità digitale. Tra reale e virtuale, cit., 75.
DIRITTO DI INTERNET N. 3/2020
385
SAGGI sentare il fenomeno della successione digitale nella sua interezza e complessità, si rivela comunque utile per una prima classificazione dei beni digitali (36). I beni a contenuto non patrimoniale (o personale o familiare (37)) sono tutti quei beni che sono suscettibili di essere valutati soltanto nella loro rispondenza a interessi individuali, familiari, affettivi o sociali (38). Tali beni, in forza del principio della “patrimonialità della successione”, dovrebbero essere esclusi dalla successione, ma così non è. Anzi, risultando tanto importanti quanto i beni a contenuto patrimoniale, sono anch’essi oggetto di delazione, seppur con alcune differenze. Si menzionano a titolo esemplificativo: le memorie personali redatte su documento informatico di testo, i ritratti fotografici digitali, i filmati di famiglia in formato digitale, i ricordi digitali in generale. Tra questi, sono comprese le corrispondenze via e-mail e, in generale, le conversazioni elettroniche private alle quali è connaturata un’esigenza di tutela della riservatezza che ne complica l’acquisizione del possesso e la trasferibilità. I beni a contenuto patrimoniale, invece, si caratterizzano per il loro valore economico intrinseco e la correlata facoltà di utilizzazione economica che essi attribuiscono al titolare. Si pensi, ad esempio, ai programmi per elaboratore (software) scritti da un programmatore, alle fotografie digitali scattate da un fotografo professionista, ai progetti di un architetto disegnati attraverso programmi per la progettazione, agli studi relativi a invenzioni brevettabili (39), ai video registrati o montati da un filmmaker, ai nomi a dominio, ai beni digitali acquistati on-line, alle opere dell’ingegno create con strumenti digitali.
4.1. Le criptovalute
I beni digitali a contenuto patrimoniale per eccellenza sono però le criptovalute (quali Bitcoin, Ethereum, Bitcoin cash, Ripple, Stellar, Litecoin): monete virtuali prive di un controvalore garantito da un soggetto terzo e accessibili attraverso una chiave crittografica, destinate all’investimento, alla detenzione o all’uso esattamente come la moneta avente corso legale, con la differenza però che le transazioni possono essere realizzate solo attraverso strumenti tecnologici (40), ossia attraverso la blockchain. (36) Resta, La successione nei rapporti digitali e la tutela post-mortale dei dati personali, cit., 88. (37) Mastroberardino, Il patrimonio digitale, cit., 10.
Il sistema delle criptovalute si basa infatti su registri pubblici decentralizzati su diversi “nodi” e le cui “pagine” sono costituite da blocchi (da qui il temine blockchain). Ogni blocco che viene aggiunto alla catena contiene un numero variabile di transazioni, ciascuna delle quali, per essere valida, deve esser firmata con la c.d. “chiave privata” dell’utente che la effettua, unica prova valida e necessaria per l’attribuzione di un determinato patrimonio ad un soggetto. Ciascuno dei nodi partecipanti alla blockchain mantiene una copia del registro completo e si occupa di creare nuovi blocchi risolvendo problemi crittografici sempre più complessi, onde creare un nuovo blocco che, secondo uno specifico criterio progettuale, integri l’impronta del precedente e delle transazioni in esso contenute rendendo il registro stesso immutabile. Spiegato, seppur approssimativamente, il sistema di gestione e di circolazione delle criptovalute, l’aspetto che maggiormente interessa il diritto delle successioni e, in particolare, il passaggio generazionale della ricchezza digitale, è quello della loro detenzione. Le forme di detenzione della criptovaluta sono le seguenti: a) attraverso fondi comuni di investimento, certificati, futures o altri strumenti finanziari comuni che abbiano come sottostante il valore della criptovaluta (41). In questo caso non esiste una criptovaluta di proprietà del defunto in quanto ciò che rileva è unicamente la quotazione dello strumento finanziario che riflette il valore della criptovaluta di riferimento; b) attraverso un account aperto presso un istituto bancario o altri intermediari on-line (c.d. exchange). Il servizio di exchange si occupa di convertire la valuta “fiat” in criptovaluta secondo la quotazione del momento e di fornire all’utente un account per operare con la criptovaluta detenuta (ovvero scambiare nuovamente la criptovaluta con moneta fiat, inviare e ricevere pagamenti). Per effettuare le operazioni sulla blockchain, l’exchange utilizza sempre la propria chiave privata, riconducibile esclusivamente al proprio portafoglio, e tiene traccia dell’effettiva giacenza di ciascuno dei propri utenti all’interno del proprio portafoglio (come una banca ordinaria che tiene traccia della giacenza sui conti correnti di ciascun cliente). L’utente del servizio di exchange deve conservare e custodire i dati di accesso al proprio account come un qualunque servizio on-line. L’exchange, di norma, conosce tutti i dati dell’utente e risulta dunque sempre in grado di recuperare i dati di accesso all’account in caso di decesso.
(38) Marino, La successione digitale, cit., 184. (39) Cfr. Gerbo, Dell’eredità informatica e di altri idola ignaviae, in Vita not., 2015, 597. (40) Cfr. Morone, Bitcoin e successione ereditaria: profili civili e fiscali, in Giustiziacivile.com, 2018, 3. Il testo è disponibile al seguente link <http://
386
DIRITTO DI INTERNET N. 3/2020
giustiziacivile.com/soggetti-e-nuove-tecnologie/articoli/bitcoin-e-successione-ereditaria-profili-civili-e-fiscali>. (41) Morone, Bitcoin e successione ereditaria: profili civili e fiscali, cit., 4 ss.
SAGGI c) direttamente dall’utente. In questo caso, la chiave privata è detenuta direttamente dall’utente il quale potrà custodirla attraverso: i. i c.d. “paper wallet”, ovvero un semplice foglio cartaceo (o un documento informatico) sul quale è stampata la complessa chiave privata in caratteri alfanumerici o codificata attraverso un QRcode; ii. i c.d. software wallet, ovvero applicazioni, accessibili tramite password, che contengono la chiave privata. Trattasi di un software installato su un device grazie al quale è possibile generare la chiave privata (la quale resterà memorizzata esclusivamente sul medesimo) per disporre della criptovaluta ed effettuare le transazioni sulla blockchain; iii. i wallet di tipo hardware (c.d. hardware wallet, quali Ledger Wallet, Trezor), ovvero dei device esteticamente simili a memorie flash USB e collegabili ad un computer con le stesse modalità, contenenti sia la chiave privata sia un’interfaccia per il sistema di firma attivabile mediante un PIN complesso (42). In altre parole, la chiave privata viene generata dal dispositivo, protetto crittograficamente dall’utente con un PIN scelto dallo stesso, e ivi rimane memorizzata senza mai essere esposta. Frequentemente il dispositivo opera in combinazione con un’applicazione software (simile al software wallet) destinato tuttavia solo alla predisposizione della transazione. Come meglio si dirà infra, al variare delle forme di detenzione possono complicarsi le problematiche successorie, in particolare laddove non vi sia stata una pianificazione da parte del disponente e non vi sia modo di entrare in possesso della chiave privata che, è bene rammentarlo, rappresenta l’unico strumento per poter acquisire e disporre delle criptovalute appartenute al defunto.
4.2. I beni tutelati dalla legge sul diritto d’autore: le opere creative dell’ingegno e gli scritti personali
Sia i beni aventi carattere patrimoniale sia quelli aventi carattere non patrimoniale possono avere un contenuto eterogeneo potendo, da un lato, rientrare tra le opere creative dell’ingegno (quali i programmi per elaboratore e i lavori preparatori di uno sviluppatore, le opere di uno scrittore, le fotografie digitali scattate da un fotografo professionista, i progetti di un architetto, i disegni di un grafico, gli studi di professore universitario, i materiali creati da un inventore) e, dall’altro lato (o nel contempo), essere equiparati agli “scritti” di carattere confidenziale o riferiti all’intimità della vita privata (come ad esempio la corrispondenza epistolare, i messaggi SMS,
(42) Morone, Bitcoin e successione ereditaria: profili civili e fiscali, cit., 6.
Whatsapp, via chat, le memorie familiari o personali, i diari, le fotografie di famiglia, il materiale personale). L’opera creativa dell’ingegno è certamente più facile da identificare grazie ai criteri stabiliti dall’ordinamento (43), mentre per gli “scritti” di carattere confidenziale o riferiti all’intimità della persona la questione può presentare maggiori difficoltà non esistendo parametri normativi di riferimento, ma solo criteri giurisprudenziali. La giurisprudenza ha al riguardo affermato, in qualche occasione (44), che lo scritto ha carattere “confidenziale” quando “il suo autore intende aprire il proprio animo di fronte al destinatario (…) per la particolare fiducia che ripone in lui”, comunicandogli “i propri sentimenti e (…) le proprie opinioni” o fatti riferiti alla sua intimità, a prescindere comunque dal tema e, in altre occasioni, che il carattere confidenziale risiederebbe nel fatto che lo scritto riguarda l’intimità della vita privata (45).
5. Gli account
Con il termine “account” si è soliti definire quel sistema di riconoscimento dell’utente che gli permette di accedere ad un determinato servizio (46). L’account, dunque, non è un “bene digitale”, ma una mera relazione contrattuale tra il fornitore del servizio della società dell’informazione e l’utente, in forza della quale quest’ultimo può usufruire di un servizio e di uno specifico ambiente virtuale (47), solitamente personalizzabile, avente determinati contenuti e singolari funzionalità. Sono tali, ad esempio, gli account di exchange di criptovalute o quelli per usufruire del servizio di posta elettronica (Gmail, Hotmail, Yahoo, ecc.), acquistare prodotti su un e-commerce (Amazon, Ebay, ecc.), utilizzare i social network (Facebook, Twitter, LinkedIn), archiviare i propri dati (iCloud, OneDrive, Dropbox), ricevere notizie (Sole24Ore, Corriere della Sera, ecc.), effettuare trading on-li (43) Per opera dell’ingegno si deve intendere, infatti, “ogni risultato raggiunto mediante il prevalente impiego delle facoltà della mente umana, ogni frutto di attività psichica, che vi prevalga la psicologia della conoscenza ovvero quella del sentimento”, che sia creativo e originale. (44) Trib. Milano, 13 settembre 2004, in A.I.D.A., 2005, 552 ss. (45) Cfr. Morri, Il diritto d’autore. Le lettere missive ricevute dal de cuius, in Trattato delle successioni e donazioni, Vol. I, La successione ereditaria, a cura di Bonilini, Milano, 2009, 698 ss. (46) Serena, Eredità digitale, cit., 113; Carrol, Digital Assets: A Clearer Definition, The digital Beyond, cit., secondo il quale il termine “account digitale” o “digital accounts” “means, but is not limited to, email accounts, software licenses, social network accounts, social media accounts, file sharing accounts, financial management accounts, domain registration accounts, domain name service accounts, web hosting accounts, tax preparation service accounts, on-line stores, affiliate programs, other on-line accounts which currently exist or may exist as technology develops or such comparable items as technology develops”. (47) Barba, Contenuto del testamento e atti di ultima volontà, cit., 285.
DIRITTO DI INTERNET N. 3/2020
387
SAGGI ne (Bitcoin, Ethereum, ecc.), effettuare, ricevere e gestire pagamenti (Paypal), memorizzare dati sanitari, effettuare operazioni bancarie on-line. Ai fini della conclusione del contratto di servizi, rectius di poter usufruire dell’account, l’utente deve registrarsi fornendo i propri dati personali (quali nome, cognome, luogo di residenza, data di nascita) e scegliere una user-id (ovvero un nome identificativo) e una password (ovvero una parola chiave segreta), dati attraverso i quali potrà identificarsi, firmare elettronicamente il contratto ed usufruire dei servizi erogati dal fornitore. L’importanza di una esatta identificazione è, in relazione agli aspetti successori, evidente: solo attraverso di essa sarà possibile ricostruire il patrimonio ereditario digitale riconducibile al defunto, subentrare nel rapporto contrattuale sotteso all’account sottoscritto (elettronicamente) con il fornitore del servizio, avere accesso ed entrare in possesso degli eventuali dati (rectius, beni digitali) di proprietà del de cuius (48). Vi è poi un’ulteriore caratteristica che contraddistingue gli account dai beni digitali. L’account è infatti sempre di proprietà del fornitore (49) e la sua fruizione è regolata dal contratto che l’utente sottoscrive elettronicamente registrandosi, contratto nel quale sono frequentemente inserite clausole che impediscono o limitano il subentro degli eredi e che prevedono la cancellazione di tutti i dati riferiti all’utente deceduto o comunque la loro incomunicabilità, con gravi conseguenze specialmente per gli account con valore patrimoniale. Non si dimentichi infatti che anche gli account possono avere un valore patrimoniale (diretto o indiretto) che può derivare loro dai servizi che offrono, come nel caso degli account di exchange di criptovalute, o dal loro contenuto, come nel caso di account di pagamento automatizzato (PayPal, ecc.) o per il trading on-line (IQ Option, Markets, ecc.), dai contratti di sponsorizzazione (50) che lo corredano, dalle recensioni o valutazioni degli utenti (Youtube, E-bay, Twitter, Instagram, ecc.) o, semplicemente, dal valore acquisito per essere divenuto per gli utenti di una comunità un punto di riferimento (51) (si pren-
dano ad esempio gli account social di personaggi famosi o c.d. influencer) (52).
6. Le credenziali di accesso e protezione del patrimonio digitale
Le credenziali, contrariamente a quanto si potrebbe pensare, non sono beni digitali (53), ma si rivelano comunque fondamentali in ambito successorio perché consentono sia la trasmissione mortis causa di qualsivoglia diritto (reale o personale) sul bene digitale o sul supporto ove è memorizzato (con modalità simili alla traditio symbolica romana), sia l’individuazione dei beni digitali e, in particolare, degli account riconducibili al de cuius (rectius, i contratti sottoscritti elettronicamente per la fornitura del servizio legato all’account). Le credenziali infatti costituiscono la chiave “virtuale” di accesso al contenuto dalle medesime protetto e senza le quali quest’ultimo è destinato a rimanere segreto, ma nel contempo costituiscono la modalità per l’identificazione di colui che accede ad un sistema protetto e/o che compie determinate operazioni e attività per via telematica (54). Esse sono solitamente costituite da una combinazione di password (parola chiave), PIN (Personal Identification Number), username o user – id (nome utente) note solo al suo creatore utilizzate per poter accedere ad un supporto di memorizzazione, ad un bene digitale o ad un account (55). Tra le credenziali, la più utilizzata nel mondo digitale - spesso (ma non sempre) in combinazione con un username – è la password, ovvero quel codice alfanumerico scelto dal creatore dello stesso che, per legge, dovrebbe essere “adeguato” al bene da proteggere e che, per prassi, dovrebbe essere: a) composta da almeno otto caratteri di cui almeno uno appartenente alle lettere maiuscole (da A Z), uno appartenente ai primi 10 numeri di base (da 0 a 9), e uno appartenente ai caratteri non alfabetici (ad esempio !,$,#,%); b) diversa da qualsiasi altra in uso o già utilizzata; c) aggiornata almeno ogni 3 mesi; d) nota solo ed esclusivamente al suo ideatore (56). (52) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 77.
(48) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 77. (49) Serena, Eredità digitale, cit., 113. (50) Si richiama la notizia relativa ad un noto youtuber che è stato oggetto di un accertamento della Guardia di Finanza proprio in ragione dei guadagni percepiti dalle sponsorizzazioni legate al suo canale YouTube con 3,7 Milioni di iscritti. Il testo è disponibile al seguente link <https:// www.corriere.it/tecnologia/19_maggio_29/guai-lo-youtuber-st3pny-haevaso-milione-euro-f684d0d0-820c-11e9-85de-e7ad434bc7c9.sht ml>. (51) Ziccardi, Il libro digitale dei morti, memoria, lutto, eternità e oblio nell’era dei social network, cit., 113.
388
DIRITTO DI INTERNET N. 3/2020
(53) Serena, Eredità digitale, cit., 113; Cfr. Bechini, Il notaio digitale. Dalla firma alla blockchain, Milano, 2019, 27; Barba, Contenuto del testamento e atti di ultima volontà, cit., 292. (54) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 87. (55) In informatica si è soliti parlare di autenticazione a uno, due o tre fattori a seconda che venga rispettivamente richiesta solo la password (1 fattore) o la password e un token di sicurezza (anche generato attraverso uno smartphone) (2 fattori) o una password, un token di sicurezza e un dato biometrico (quali ad esempio l’impronta digitale) (3 fattori). (56) Si veda sul punto l’art. 5 dell’allegato B (ovvero del Disciplinare tecnico in materia di misure minime di sicurezza), del d. lgs. n. 196/2003, (abrogato dall’articolo 27, comma 1, lett. d, del d. lgs. 10 agosto 2018,
SAGGI La trasmissione delle credenziali, proprio per le finalità che queste mirano a soddisfare e le loro caratteristiche intrinseche, costituisce uno degli aspetti più complessi da superare (oltre che da regolare) nell’ambito delle successioni di beni digitali.
7. I supporti di memorizzazione
I supporti di memorizzazione sono “contenitori” tecnologici, spesso con le caratteristiche proprie delle cassette di sicurezza, nei quali sono custoditi la maggior parte (se non tutti) i beni digitali di una persona. Seppur non possano essere annoverati tra i beni digitali, la loro importanza è comunque fondamentale ai fini successori. Prima di esaminare le singole tipologie di supporti di memorizzazione è necessaria una premessa sostanziale e rilevante nel contesto successorio: il supporto di memorizzazione fisico (hard disk, flash drive, CD-ROM, ecc.) deve essere tenuto distinto dai dati contenuti all’interno del medesimo (immagini, testi, file audio, video, ecc..). Si tratta infatti di due beni mobili distinti, ex art. 812, co. 2, c.c., uno fisico e l’altro digitale, che potrebbero essere oggetto sia di diritti sia di disposizioni mortis causa differenti, oltre che soggiacere a criteri di delazione diversi rispetto a quelli ordinari. Tra i supporti di memorizzazione si è soliti annoverare: i dischi rigidi (hard disk) magnetici (tali sono i dischi installati nella gran parte dei personal computer, fissi e portatili, come memoria di massa, ma possono altresì essere utilizzati separatamente come unità esterne), i dischi a stato solido (SSD, Solid state Drive), le memorie flash (sono basate su memoria flash le diverse “pendrive” le schede di memoria delle macchine fotografiche e la memoria interna degli smartphone), dischi ottici (CD-ROM - Compact Disk Read Only Memory, CD-R - Compact Disk Rewritable, DVD - Digital Versatile Disc, BR Blu-ray Disc). Accanto ai noti dispositivi fisici, si sono sviluppati altri sistemi di memorizzazione di natura virtuale (c.d. cloud), all’interno dei quali, allo stesso modo, è possibile custodire ogni genere di dato (documenti informatici, musica, film e, più in generale, qualsivoglia genere di bene digitale). Il cloud (dall’inglese, “nuvola”), rectius il cloud “storage”, è uno spazio virtuale di memorizzazione personale, messo a disposizione da un fornitore di servizi della società dell’informazione e accessibile tramite un account, frui-
n. 101 - Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). Cfr. Perri, Sicurezza giuridica e sicurezza informatica dal D.Lgs. 196/03 al Regolamento generale sulla protezione dei dati, in Aa. Vv. Tecnologia e Diritto, a cura di Ziccardi e Perri, II, Milano, 2019, 14.
bile in qualsiasi momento ed in ogni luogo utilizzando una connessione ad internet e un device (un personal computer, uno smartphone, un tablet, ecc. proprio o di terzi). Il sistema di cloud storage garantisce la disponibilità del documento informatico (documenti di testo, musica, foto, ecc.) senza avere con sé alcun supporto di memorizzazione fisico, con evidenti vantaggi in termini di fruibilità e di sicurezza. Inoltre, il sistema permette di sincronizzare tutti i documenti in un unico luogo (la nuvola, appunto), con il conseguente vantaggio che questi possono sempre essere scaricati, modificati, cancellati e/o aggiornati da qualsiasi dispositivo che consenta l’accesso al provider. Il successo del cloud è stato dettato anche dalla sicurezza fisica dei dati che il sistema stesso garantisce: in caso di perdita, danneggiamento o mal funzionamento dello smartphone, del tablet o del computer portatile i dati sarebbero comunque salvi perché memorizzati sul cloud, cosa che non accadrebbe nel caso in cui invece fossero archiviati nella (sola) memoria interna. Tale caratteristica si rivela in ambito successorio di estrema importanza in quanto trattandosi di un comune account per gli eredi sarà più agevole entrare in possesso di tutti i beni digitali ivi memorizzati, come meglio si dirà infra.
8. La trasmissione mortis causa dei diritti sul patrimonio digitale nella successione ab intestato
Tra le tante criticità che caratterizzano la trasmissione generazionale della ricchezza digitale vi è, come anticipato, la presenza delle credenziali di accesso (note solo al suo creatore, rectius al defunto) poste a protezione, tra gli altri, dei beni digitali, degli account e/o dei supporti di memorizzazione. Nell’ambito della successione ab intestato la questione si rivela particolarmente delicata: l’ignoranza delle credenziali di accesso da parte degli eredi può infatti portare all’impossibilità, da un lato, di entrare in possesso del patrimonio digitale del defunto e, dall’altro lato, di subentrare nei suoi diritti sul patrimonio digitale. Dunque, più che l’applicazione delle regole sulla successione (che, peraltro, non subiscono variazioni), la problematica maggiore sarà quella di acquisire il possesso sui beni digitali appartenuti al defunto. Per tale ragione è necessario esaminare preliminarmente le modalità informatico-giuridiche per (cercare di) ottenere quel possesso senza il quale non potrà esservi trasmissione ereditaria.
8.1. Modalità di acquisizione dei beni digitali custoditi nei supporti di memorizzazione fisici
La riservatezza della vita digitale di un individuo, l’immaterialità dei beni digitali, la segretezza delle credenziali di accesso ai supporti di memorizzazione o agli account
DIRITTO DI INTERNET N. 3/2020
389
SAGGI sono tutti elementi che possono rendere la ricostruzione e, dunque, il subentro nel patrimonio ereditario digitale, estremamente complesso se non addirittura impossibile (57). La problematica è di estrema rilevanza, soprattutto quando nel compendio ereditario vi siano beni a contenuto patrimoniale. Dunque, la prima attività che il chiamato a succedere nei rapporti del defunto dovrà compiere è la ricostruzione dell’ipotetica “vita digitale” del medesimo e il rinvenimento dei supporti fisici di memorizzazione (personal computer, tablet, smartphone, hard disk esterni, memorie flash, CD-ROM, DVD, ecc.) ove sono contenuti i beni digitali o comunque i dati agli stessi riconducibili e grazie ai quali è possibile accedervi, nonché altri eventuali dispositivi fisici per la memorizzazione di credenziali e chiavi private (quali hardware wallet). Rinvenuti i supporti di memorizzazione, si potrebbe comunque non riuscire ad accedervi, in quanto questi potrebbero essere protetti da una credenziale di accesso (ad esempio, una password). L’applicazione ai supporti fisici di memorizzazione (personal computer, tablet, smartphone, ecc.) di credenziali (note solo all’ideatore) è del resto divenuta una prassi comune. In tali casi, l’unica soluzione sarà, oltre che procedere per tentativi - inserendo, ad esempio, password già note perché di frequente utilizzo del defunto o ricostruibili attraverso le sue abitudini -, richiedere l’assistenza di tecnici specializzati in informatica forense affinché tentino di accedere al supporto protetto da credenziale e di recuperare i contenuti protetti. A fronte di una credenziale già utilizzata o “semplice”, è spesso possibile ottenere quell’accesso al dispositivo che consente allo specialista informatico di effettuare una copia esatta del suo contenuto e recuperare, attraverso le tecniche di informatica forense, i beni digitali ivi memorizzati o, comunque, dati utili ai fini successori. Tuttavia, le tecnologie attuali offrono misure di protezione ben più efficaci rispetto alle consuete credenziali (password, PIN, username, ecc.) che, grazie all’integrazione tra hardware e software, proteggono non solo l’accesso al supporto, ma effettuano altresì una cifratura (asimmetrica) dei dati ivi presenti. I dati scritti sulla memoria di massa vengono indissolubilmente legati al device utilizzando la credenziale scelta dall’utente quale “chiave pubblica” e quella già inserita in un apposito chip di memoria presente nel sistema quale “chiave privata”. In tali casi, lo specialista informatico, ignorando le credenziali, dovrà utilizzare le medesime tecniche di polizia giudiziaria e andare ad esaminare ogni singola componente, oltre che ogni supporto esterno, alla ricerca di
(57) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 98.
390
DIRITTO DI INTERNET N. 3/2020
“frammenti” della credenziale originale e degli eventuali dati cancellati che permettano di rinvenire indizi in grado, direttamente o indirettamente, di ricondurre alla credenziale. Frequente sarà il ricorso alla c.d. copia forense del dispositivo di memorizzazione in modo tale da poter effettuare tentativi di accesso (anche invasivo o distruttivo), senza compromettere l’originale del supporto o, in alternativa, alle tecniche di c.d. bruteforce, ossia ad un cospicuo numero di tentativi automatizzati di acceso attraverso password generate casualmente a partire da criteri predeterminati. Qualora poi non fosse necessario conservare il supporto fisico di memorizzazione, si potrà ricorrere anche alle tecniche “distruttive” quali il c.d. “chip off”, ovvero la rimozione fisica dei componenti dalla scheda logica per un accesso fisico al componente contenente la chiave privata da estrarre (58). Rinvenire e accedere ai supporti di memorizzazione può risultare di fondamentale importanza in quanto questi non solo possono rivelare informazioni interessati al fine di reperire i digital assets, ma anche per entrarne in possesso.
8.2. Modalità di acquisizione del possesso dei beni digitali custoditi negli account e la successione nel contratto ad esso sotteso
Per quanto concerne i beni digitali custoditi all’interno di un account, invece, la questione assume contorni differenti. La prima (oltre che più semplice) forma di acquisizione è (tentare) l’accesso attraverso lo stesso (o gli stessi) device (personal computer, smartphone, tablet, ecc.) in uso al defunto (se accessibile ab origine). In altre parole, qualora i chiamati all’eredità siano riusciti ad accedervi, potranno tentare di entrare nell’account del defunto utilizzando il suo personal computer, il suo tablet o il suo smartphone. Gli elaboratori elettronici in generale e i programmi di navigazione (browser) in particolare, anche al fine di agevolare l’utente, consentono infatti di memorizzare localmente le credenziali di accesso ai diversi servizi in rete (il browser utilizzato per la navigazione in internet conserva tutte le password che l’utente ha deciso di salvare in occasione del primo accesso ad un account o alla modifica delle password medesime). Qualora tale tentativo risultasse infruttuoso o inattuabile, l’unico strumento per poter accertare l’esistenza di dati riconducibili al defunto e (cercare di) entrarvi in possesso, sarà quello legale. Nello specifico, gli strumenti che gli eredi potranno utilizzare, spesso necessariamente in combinazione tra loro, saranno il Regolamento UE n. 679/2016 sul trattamento dei dati personali, il d. lgs.
(58) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 100.
SAGGI n. 196/2003 (come modificato dal d. lgs. n. 101/2018) e il contratto con il fornitore del servizio. Nonostante il Regolamento UE n. 679/2016 non si applichi ai dati personali delle persone defunte, come precisato dal considerando n. 27, il GDPR si rivela comunque il principale strumento giuridico per ottenere copie dei beni digitali appartenuti al defunto e memorizzati nell’account a questi riconducile. Invero, il GDPR, oltre ad essere pienamente applicabile anche a tutti i titolari del trattamento che abbiano sede fuori dall’Unione Europea, ma che trattino dati di interessati che vi si trovino all’interno (ex art. 3, par. 2, Regolamento UE n. 679/2016) (59) contiene una norma, l’art. 6, par. 1, lett. b) e lett. f) (60) utilizzabile al fine di entrare in possesso dei beni ereditari. (59) L’art. 3, par. 2, del Regolamento UE n. 679/2016 dispone che “2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.” (60) L’art. 6 del Regolamento UE n. 679/2016 prevede che: “1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. 2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX. 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell’Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su
Spesso i fornitori dei servizi della società dell’informazione respingono le richieste dei chiamati o degli eredi, trincerandosi dietro la tutela della riservatezza del defunto. L’eccezione però è contestabile. Se è vero, infatti, che il contratto (atipico) per la fornitura di un servizio (o di un bene digitale) si trasferisce mortis causa come ogni altro rapporto contrattuale (61), è altrettanto vero che, anche ai fini dell’effettivo subentro degli eredi nel contratto (e, quindi, nella gestione dell’account) il trattamento dei dati del defunto relativi all’account da parte degli eredi deve considerarsi lecito ex art. 6, par. 1, lett. b), prima ancora che necessario (62). Il consenso prestato dal defunto, del resto, continua ad avere efficacia nei confronti degli eredi e, dunque, a rendere legittimo il trattamento (63). Inoltre, gli eredi, sono quasi sempre portatori di un “interesse legittimo” (64) (quale l’interesse alla tutela di diritti derivanti dalla successione, alla loro difesa, ecc.) ad accedere agli account del defunto, ragione per la quale, anche prescindendo dal subentro nel contratto, potrebbe essere invocato anche l’art. 6, par. lett. f) che renderebbe comunque lecita la comunicazione dei dati del defunto e il loro trattamento (65). Il trattamento dei dati necessario per la tutela degli interessi legittimi degli eredi, infatti, prevale rispetto agli interessi e ai diritti
un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10; d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.” (61) Mattera, La successione nell’account digitale. Il caso tedesco, cit., 703; BGH, 12 luglio 2018, n. 183/17, cit., 703. (62) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 99. La trasmissione e la messa a disposizione presso l’account del defunto di messaggi e contenuti condivisi del partner di comunicazione avviene anche in adempimento di un’obbligazione contrattuale principale, esistente nei confronti di costui. (63) Mattera, La successione nell’account digitale. Il caso tedesco, cit., 706. (64) BGH, 12 luglio 2018, n. 183/17, cit., 700. La Corte di Cassazione tedesca afferma che nel novero degli interessi legittimi rientrano, oltre quelli ex lege, anche gli interessi di fatto, economici o ideali, con esclusione tuttavia dei meri interessi generali. (65) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 99.
DIRITTO DI INTERNET N. 3/2020
391
SAGGI fondamentali alla protezione dei dati personali del defunto o di terze parti (66). Tuttavia, almeno nel panorama giuridico italiano, oltre all’art. 6 del GDPR, la norma che si rivela più di tutte efficace per entrare in possesso dei beni digitali ereditari è, qualora risulti applicabile la legge italiana, l’art. 2 terdecies del d. lgs. n. 196/2003, come modificato dal d. lgs. n. 101/2018 (67). Tale norma, unica nel suo genere, titolata “Diritti riguardanti le persone decedute”, prevede espressamente, al 1° comma, che: “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.” L’art. 2 terdecies (in linea con l’art. 9 co. 3, del “vecchio” Codice Privacy) ha una portata giuridica eccezionale poiché consente di ottenere, grazie all’art. 15 del GDPR (68), l’accesso a tutte le informazioni riconduci (66) Mattera, La successione nell’account digitale. Il caso tedesco, cit., 706. (67) È previsto che: “1. I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. 2. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata. 3. La volontà dell’interessato di vietare l’esercizio dei diritti di cui al comma 1 deve risultare in modo non equivoco e deve essere specifica, libera e informata; il divieto può riguardare l’esercizio soltanto di alcuni dei diritti di cui al predetto comma. 4. L’interessato ha in ogni momento il diritto di revocare o modificare il divieto di cui ai commi 2 e 3. 5. In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi.” (68) L’ art. 15 del Regolamento UE n. 679/2016 prevede che: “1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di
392
DIRITTO DI INTERNET N. 3/2020
bili al defunto e “memorizzate” dal titolare del trattamento. Dunque, consente altresì di avere informazioni persino sulle criptovalute eventualmente riconducibili al defunto (69). Anche per quanto concerne i soggetti legittimati ad avanzare una richiesta di accesso, la norma si rivela innovativa tenuto conto che, oltre a coloro che hanno un interesse proprio (quale un legittimario pretermesso, un coerede, un legatario), che agiscono a tutela dell’interessato (ivi compreso l’esecutore testamentario che ritenga lesa la volontà del defunto), o per ragioni familiari meritevoli di protezione, vengono legittimanti anche i mandatari, ovvero soggetti che, in forza di un contratto inter vivos, hanno ricevuto l’incarico di compiere una determinata attività. Si tenga in ogni caso in considerazione che i più noti exchange (Coinbase e Kraken) (70) di criptovalute e molti fornitori di servizi della società dell’informazione (Google, Dropobox, iCloud, ecc.), ben consapevoli delle questioni successorie legate ai beni digitali dagli stessi custoditi, hanno già previsto delle procedure specifiche di trasferimento delle criptovalute o dei beni digitali a favore degli eredi. Se è vero che i diritti di cui all’art. 15 del Regolamento UE n. 679/2016 e all’art. 2 terdecies del d.lgs. n. 196/2003 sono, come si è avuto modo di spiegare, gli unici strumenti per cercare ottenere il possesso dei dati
uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.” (69) Cfr. Ricci, I diritti dell’interessato, in Aa. Vv. Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 185. (70) L’exchange Coinbase prevede nello specifico, all’interno della sezione “How do I gain access to a deceased family members Coinbase account?” quanto segue: “In the event that you inherit or otherwise become the owner of a deceased family member’s Coinbase account, rest assured that Coinbase has created a process to transfer the assets in the easiest manner possible. The best thing to do is contact us to make us aware of the situation. One of our analysts will work with you throughout the process. When you contact us, we will ask for the following documents: Death Certificate, Last Will and Testament - AND/OR - Probate Documents (either Probate, Letters Testamentary, Letters of Administration, Affidavit for Collection or Small Estate Affidavit), Current, valid government-issued photo identification of the person(s) named in the Letters Issued, a letter signed by the person(s) named in the Probate Documents instructing Coinbase on what to do with the balance of the Coinbase account. If any documents are missing, please let us know, so we can assist you. If you are unfamiliar with Coinbase or digital currency in general, we would like to assure you that our support staff is standing by. We will answer any questions you may have and walk you through the process. Please keep in mind that the required documentation and processes may differ depending on your region, residence, and individual situation. If we need additional information, we will request it via email.” Il testo è disponibile al seguente link <https://help.coinbase.com/en/coinbase/ managing-my-account/other/how-do-i-gain-access-to-a-deceased-familymembers-coinbase-account.html>; l’exchange Kraken, invece, nella sezione “Knowledge base”, prevede unicamente che “the executor of your estate or your legal successor(s) will have to provide us with several documents such as your death”, il testo è disponibile al seguente link https://support.kraken. com/hc/en-us/search?utf8=%E2%9C%93&query=death.
SAGGI personali riconducibili al defunto, è altrettanto vero che anche il contratto sottoscritto dal defunto per la fruizione dell’account dovrebbe essere tra questi. Oggetto della successione digitale mortis causa, come sopra esposto, non sono solamente i beni (materiali e digitali), bensì anche i rapporti contrattuali di cui era parte il defunto. Tra questi devono (rectius dovrebbero) essere annoverati anche quelli sottesi alla fruizione degli account, compresi quelli per il deposito e la gestione delle criptovalute. Infatti, come anche già affermato dalla giurisprudenza tedesca (71), se si muove dal presupposto che i rapporti inerenti beni immateriali (dati, personali e non) sono parte del patrimonio del de cuius e come tali sono suscettibili di trasmissione ereditaria, non vi è ragione per escludere, in applicazione del principio di universalità della successione, né gli account contenenti beni di natura personale né gli account per gestione e detenzione di una criptovaluta. Dunque, non è (rectius, non dovrebbe essere) possibile impedire agli eredi del defunto di succedere nell’integralità dei rapporti attivi e passivi del de cuius (non quali legittimati iure proprio o su base fiduciaria) (72) e, quindi, anche nel contratto di gestione e deposito sottoscritto per la fruizione di un account. Una siffatta conclusione si ricava altresì a contrariis dalla frequente presenza di clausole che prevedono espressamente non solo la cancellazione di tutti i dati dell’utente defunto, bensì anche clausole di intrasmissibilità del rapporto contrattuale, imposte per derogare all’ordinaria disciplina. Tali clausole, giustificate ora in ragione di un’asserita natura intuitu personae del rapporto con il defunto ora dalla tutela della privacy dello stesso, impediscono il subentro degli eredi nel contratto e, in alcuni casi, l’accesso ai dati attraverso l’utilizzo dell’account (73). Tuttavia, se è vero che, attraverso l’autonomia privata contrattuale, le parti contraenti possono stabilire l’intrasmissibilità delle posizioni contrattuali (74) o l’attenuazione delle prestazioni legate al contratto, è altrettanto vero che, quantomeno nella contrattazione di massa a distanza, clausole di tal specie si rivelano spesso nulle. Invero, come ha avuto modo di statuire la Corte di Cassazione tedesca (75), le clausole di rinunzia che favoriscano unilateralmente una delle parti in danno dell’al-
tra (come la clausola di intrasmissibilità del contratto, quelle di cancellazione dei dati, quella della legge applicabile o della giurisdizione competente), devono essere considerate nulle, quando: - sono frutto di un’illegittima asimmetria contrattuale, come nel caso della contrattazione in rete dove non vi è (salvo prova contraria) una contrattazione espressa sul loro contenuto; - non prevedano un’equa distribuzione dei diritti (76) tra le parti. Se così non fosse il diritto di accesso all’account da parte degli eredi sarebbe precluso e, nel contempo, il principio di universalità della successione verrebbe neutralizzato (77). In ogni caso, clausole di tal natura, ancorché idonee ad impedire la successione nell’account, non potrebbero comunque mai ostacolare la trasmissione di diritti già cristallizzati nel patrimonio del de cuius, in quanto contrarie a norme e principi inderogabili in materia in materia di successioni (78).
8.3. L’acquisizione del possesso della criptovaluta detenuta dal defunto
A prescindere dal rinvenimento e dall’accesso al supporto di memorizzazione, l’acquisizione del possesso della criptovaluta può rivelarsi, rispetto a tutti gli altri beni digitali appartenuti al defunto, un’operazione complessa. Se è vero che i fornitori di servizi della società dell’informazione (quali un servizio cloud, di posta elettronica o di social network), pur non consentendo (illegittimamente) il subentro degli eredi nel contratto stipulato dal defunto, saranno comunque costretti a consegnare copia di quanto custodito nell’account, è altrettanto vero che nel caso in cui la criptovaluta sia detenuta direttamente dal defunto l’acquisto del suo possesso può rivelarsi spesso impossibile. Invero, qualora le criptovalute siano detenute dal de cuius - attraverso un software wallet, al fine di entrare in possesso delle stesse, i problemi da superare saranno legati all’accesso, da un lato, al device all’interno del quale è stato installato il software di custodia della chiave privata e, dall’altro lato, al software medesimo (protetto da una password), con tutti i rischi sopra esposti. - attraverso un hardware wallet, oltre alle difficoltà di reperimento dell’hardware medesimo, sarà necessario
(71) BGH, 12 luglio 2018, n. 183/17, cit., 693. (72) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 91.; BGH, 12 luglio 2018, n. 183/17, cit., 693. (73) Camardi, L’eredità digitale. Tra reale e virtuale, cit., 79.
(76) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 92.
(74) Marino, La successione digitale, cit., 180.
(77) Resta, La successione nei rapporti digitali e la tutela post mortale dei dati personali, cit., 93.
(75) BGH, 12 luglio 2018, n. 183/17, cit., 694.
(78) Marino, La successione digitale, cit., 181 ss.
DIRITTO DI INTERNET N. 3/2020
393
SAGGI recuperare la password di accesso alla chiave privata, con le modalità, i rischi e le eccezioni sopra esposte, ma con una differenza sostanziale: la scelta (spesso necessaria) di una procedura c.d. chip off su un wallet hardware può volatilizzare una fortuna qualora non giunga a buon fine, evenienza peraltro probabile considerando l’efficacia dei moderni sistemi di cifratura. In altre parole, qualora la rimozione fisica dei componenti dalla scheda logica, per un accesso fisico al componente contenente la chiave privata da estrarre, non porti al recupero della chiave privata, non vi sarà possibilità alcuna di entrare in possesso della criptovaluta riconducibile al defunto (79). Nel caso in cui invece la criptovaluta sia stata utilizzata (solo) quale indice di uno strumento finanziario, l’acquisizione del possesso non presenta particolari problematiche essendo l’oggetto della successione costituito unicamente dallo strumento finanziario.
9. Le regole di trasmissione mortis causa del patrimonio digitale
Ottenuto il possesso dei beni digitali riconducibili al defunto, questi saranno soggetti alle regole ordinarie sulla successione e, dunque, come ogni altro bene mobile, anche i beni digitali saranno devoluti ex art. 565 c.c. al coniuge o all’unito civilmente (v. art 1, co. 21, Legge n. 76/2016), ai discendenti, agli ascendenti, ai collaterali, agli altri parenti e allo Stato, nell’ordine e secondo le regole stabilite dalla legge. L’assioma è certamente vero per quanto concerne i beni a contenuto patrimoniale “puro”, ovvero privi di profili di natura intima e non qualificabili quali opere dell’ingegno (le criptovalute, i beni digitali acquistati, ecc.) Per quanto concerne invece i beni di natura non patrimoniale (cioè beni che realizzano interessi meramente individuali, familiari, affettivi o sociali (80)) o patrimoniali qualificabili come opere dell’ingegno, il fenomeno successorio non si rivela del tutto lineare. Ci si riferisce in particolare alle missive di posta elettronica (spedite e ricevute dal de cuius), ai messaggi (rectius, conversazioni) scambiati via chat (si pensi a Facebook, via SMS o Whatsapp), alle raccolte, ai ritratti fotografici e, più in generale, a tutti quei materiali personali (81) caratterizzati da una natura individuale, familiare, affettiva o intima.
(79) d’Arminio Monforte, La successione nel patrimonio digitale, cit., 101. (80) Marino, La successione digitale, cit., 184. (81) Morri, Il diritto d’autore. Le lettere missive ricevute dal de cuius, cit., 698.
394
DIRITTO DI INTERNET N. 3/2020
A tali beni si può infatti applicare la legge n. 633 del 1941 sul diritto d’autore e, segnatamente, l’art. 93 (82). Tale norma determina, in ragione della tutela della riservatezza sia dell’autore della missiva sia del destinatario, una compressione dei diritti acquisiti mortis causa su tali beni prevedendo che la pubblicazione, la riproduzione o la divulgazione di questi sia condizionata al consenso (espresso) dei soggetti più vicini al de cuius, ovvero da coloro che sono presumibilmente i più idonei a tutelare la personalità del defunto. Anzi, una parte della dottrina (83) ritiene altresì che sarebbe necessario anche il consenso di coloro ai quali sono riferiti i fatti o i comportamenti contenuti nelle missive. Pertanto, non viene attribuito ex lege ai prossimi congiunti ivi indicati alcun diritto di proprietà sul bene “fisico”, quale una e-mail (o sulle conversazioni via SMS, Whatsapp o via social network, fotografie, ritratti), intesa come bene digitale composto di bit (che infatti segue le regole della successione ordinaria), ma un diritto ancor più pregnante che, peraltro, prescinde da qualsivoglia disposizione testamentaria. Invero, coloro che subentrano quali eredi del destinatario nel diritto di proprietà sulle e-mail (o sulle conversazioni via SMS, Whatsapp o via social network o comunque sulla corrispondenza) allorché queste abbiano carattere confidenziale o siano riferibili alla intimità della vita privata, non potranno disporne liberamente, ma dovranno, da un lato, rispettare sempre il diritto alla riservatezza del mittente (o dei soggetti di cui all’art. 93, co. 2, L.d.A) e, dall’altro lato, non potranno pubblicare, riprodurre o divulgare alcunché senza il consenso dei prossimi congiunti del destinatario (se, ovviamente, diversi dagli eredi) che, infatti, possono opporsi (84). Per quanto riguarda la corrispondenza elettronica, tenuto conto del carattere estremamente eterogeno che può avere, sono state elaborate anche altre ipotesi di trasmissibilità.
(82) L’art. 93 Legge n. 633 del 1941 sul diritto d’autore prevede che “Le corrispondenze epistolari, gli epistolari, le memorie familiari e personali e gli altri scritti della medesima natura, allorché abbiano carattere confidenziale o si riferiscano alla intimità della vita privata, non possono essere pubblicati, riprodotti od in qualunque modo portati alla conoscenza del pubblico senza il consenso dell’autore, e, trattandosi di corrispondenze epistolari e di epistolari, anche del destinatario. Dopo la morte dell’autore o del destinatario occorre il consenso del coniuge e dei figli, o, in loro mancanza, dei genitori; mancando il coniuge, i figli e i genitori, dei fratelli e delle sorelle, e, in loro mancanza, degli ascendenti e dei discendenti diretti fino al quarto grado. Quando le persone indicate nel comma precedente siano più e vi sia tra loro dissenso, decide l’autorità giudiziaria, sentito il pubblico ministero.” (83) Cfr. De Cupis, I diritti della personalità, in Trattato di diritto civile e commerciale, a cura di Cicu e Messineo, Giuffrè, 1982, 358. (84) Morri, Il diritto d’autore. Le lettere missive ricevute dal de cuius, cit., 698; Cfr. Barba, Contenuto del testamento e atti di ultima volontà, cit., 289; Mastroberardino, Il patrimonio digitale, cit., 143.
SAGGI Secondo una prima tesi (85), occorre distinguere la natura degli account tra professionale (e patrimoniale) e personale. Nel primo caso chiamati a succedere sarebbero gli eredi, mentre nel secondo, prevalendo il contenuto personale, dovrebbe esse applicata la normativa (sopra esposta) relativa alla corrispondenza epistolare (86). Una seconda tesi (87) ammette che il contenuto della posta elettronica rientri nell’asse ereditario, unitamente alla posizione contrattuale, e che venga quindi trasferito agli eredi legittimi (o testamentari). Tale soluzione, benché lineare, pone un delicato problema legato alla confidenzialità dei messaggi di natura personale e all’interesse al riserbo di terze persone. Da un lato, infatti, si può ravvisare un interesse del defunto a mantenere celati i contenuti, anche intimi, legati alla sua identità o alla sua vita relazionale e, dall’altro lato, vi sono interessi legati alla sfera giuridica di persone estranee al rapporto “familiare” che dovrebbero essere sempre tutelati (88). Una terza soluzione (89) vede escludere dalla successione gli account e il loro contenuto, conseguentemente gli eredi non potrebbero pretendere dal fornitore del servizio di posta elettronica la corrispondenza diretta al defunto, come invece previsto dall’art. 34 del R.D. n. 689 del 1940 (90). Per quanto concerne infine i ritratti fotografici personali valgano le regole previste dall’art. 93 L.d.A. per la corrispondenza. Invero, l’art. 96, relativo ai ritratti, dispone che “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente. Dopo la morte della persona ritrattata si applicano le disposizioni del 2°, 3° e 4° comma dell’art. 93.” Tra i beni a contenuto patrimoniale o non patrimoniali vi sono poi alcuni che, per il loro contenuto o la loro natura intrinseca, posso soggiacere a quella “curvatura” (91) negli ordinari criteri di delazione prevista sempre dalla legge sul diritto d’autore (Legge n. 633/1941 e ss.mm.), in quanto qualificabili come opere dell’ingegno di carattere creativo e, dunque, portatrici di diritti morali e patrimoniali (tali beni non sono solo le opere letterarie,
(85) Cfr. Hoeren, Der Tod und das Internet – Rechtliche Fragen zur Verwendung von E-mail – und WWW – Accounts nach dem Tode des Inhabers, in Neue Juristische Wochenschrift, 2005, 2114 ss. (86) Resta, La morte digitale, cit., 911. (87) Cfr. Herzog, Der digitale Nachlass – ein bisher kaum gesehens un haufig missverstandenes Problem, in Neue Juristische Wochenschrift, 2013, 3749. (88) Resta, La morte digitale, cit., 911 ss. (89) Cfr. Martini, Der Digitale Nachlass und die Herausforderung postmortalen Personlichkeitsschutzes im Internet, in JZ, 2012, 1147. (90) Resta, La morte digitale, cit., 913. (91) Marino, La successione digitale, cit., 186.
i programmi per elaboratore, le “app” o i progetti di un architetto professionista, ma anche i contenuti di una e-mail, di una conversazione via social network, di uno scritto personale, ovvero le c.d. opere dell’ingegno minori). La disciplina relativa al trasferimento mortis causa dei diritti morali e dei diritti patrimoniali porta infatti ad una “alterazione” degli ordinari criteri di delazione che si rivela particolarmente marcata in relazione ai beni digitali. I diritti morali (ad eccezione del diritto di inedito, di cui infra) possono essere esercitati ex art. 23 L.d.A. dopo la morte dell’autore, dal coniuge e dai figli o, in loro mancanza, dai genitori o dagli ascendenti e dai discendenti diretto e, mancando anche questi, dai fratelli e dalle sorelle e dai loro discendenti, senza limiti di tempo (92). L’art. 24 della Legge sul diritto d’autore statuisce tuttavia che il diritto di inedito, ovvero il diritto di pubblicare l’opera inedita, spetta agli eredi o ai legatari dell’opera, salvo che l’autore l’abbia espressamente vietata o l’abbia affidata ad altri attribuendogli i relativi poteri (93). Secondo un’opinione prevalente, i beneficiari dei diritti morali non acquisterebbero tali diritti iure successionis, ma iure proprio dal momento della morte dell’autore (94). I diritti patrimoniali, al contrario, oltre a poter essere liberamente oggetto di disposizioni mortis causa, sono acquisiti dagli eredi iure successionis (95). In assenza di ultime volontà e sempre che non siano stati oggetto di cessione definitiva a terzi, tutti tali diritti saranno soggetti alle norme sulla successione legittima. L’unico limite imposto dalla Legge è ravvisabile nell’art. 24, 4° co., L.d.A, che impone agli eredi la comunione ereditaria per un periodo non inferiore a tre anni dalla morte dell’autore (salvo gravi ragioni in presenza delle quali l’Autorità giudiziaria può sciogliere la comunione) e la nomina di un amministratore (tra i coeredi o esterno) che gestisca i diritti di utilizzazione economica.
10. La trasmissione mortis causa dei diritti sui supporti fisici di proprietà del de cuius
Il supporto fisico, rectius il supporto fisico di memorizzazione, come già detto, è un bene mobile (diverso dai beni ivi memorizzati) che, come tale, entra a far parte dell’asse ereditario. Il diritto reale vantato dal de cuius sull’hard disk (ovverosia sul personal computer portatile o fisso, lo smartphone, (92) Marino, La successione digitale, cit., 184. (93) Marino, La successione digitale, cit., 184. (94) Morri, Il diritto d’autore. Le lettere missive ricevute dal de cuius, cit., 695; De Cupis, I diritti della personalità, cit., 616. (95) Morri, Il diritto d’autore. Le lettere missive ricevute dal de cuius, cit., 695.
DIRITTO DI INTERNET N. 3/2020
395
SAGGI il tablet, ecc.), sulla memoria flash o sul CD-ROM, in assenza di disposizioni mortis causa, cadrà in successione seguendo le regole ordinarie della successione legittima (96). Subentreranno dunque al de cuius nel diritto reale sul supporto fisico di memorizzazione i soggetti di cui all’art. 565 c.c., il quale dispone che nella successione legittima l’eredità si devolva al coniuge o all’unito civilmente (v. art 1, co. 21, Legge n. 76/2016), ai discendenti, agli ascendenti, ai collaterali, agli altri parenti e allo Stato, nell’ordine e secondo le regole stabilite dalla legge. Qualora, invece, il supporto di memorizzazione non sia di proprietà del defunto, ma concessogli in locazione o in comodato quale strumento informatico per lo svolgimento dell’attività professionale, è necessario distinguere tra supporto di memorizzazione e dati ivi contenuti. Mentre, infatti, il supporto di memorizzazione (ovverosia sul personal computer portatile o fisso, lo smartphone, il tablet, ecc.) non potrà cadere in successione in quanto di proprietà di terzi, gli eventuali dati personali del defunto ivi memorizzati (fotografie, video, documenti informatici dallo stesso creati, ecc.) dovranno essere ricompresi nell’asse ereditario.
(96) Camardi, L’eredità digitale. Tra reale e virtuale, cit., 75; Bechini, Password, credenziali e successione mortis causa, cit., 3; Resta, La morte digitale, cit., 905.
396
DIRITTO DI INTERNET N. 3/2020
SAGGI
La disciplina penale degli usi ed abusi delle valute virtuali di Rosa Maria Vadalà Sommario: 1. Valute virtuali e possibili qualificazioni. - 2 La direttiva UE 2019/713 e la disciplina penale degli usi delle valute virtuali. - 3. Trattamento sanzionatorio, responsabilità e protezione delle persone giuridiche ai sensi della direttiva UE 2019/713. - 4. Le fattispecie nazionali. - 5. La repressione e prevenzione degli abusi delle valute virtuali. - 6. Conclusioni. La direttiva UE 2019/713 del 17 aprile 2019 stabilisce norme minime relative ai reati e alle sanzioni contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, includendo specificatamente le valute virtuali. Gli Stati membri sono tenuti a conformarsi a questa direttiva entro il 31 maggio 2021; il presente lavoro intende verificare la presenza nel nostro ordinamento di fattispecie, corrispondenti alle vincolanti indicazioni sovranazionali, a garanzia degli usi legittimi delle valute virtuali e contro il loro impiego per finalità criminali. The Directive (EU) no. 2019/713 of April 17, 2019, establishes minimal rules concerning the definition of criminal offences and sanctions in the areas of fraud and counterfeiting of non-cash means of payment, specifically including virtual currencies. Member States must comply with this Directive by May 31, 2021; this essay intends to verify the presence in our system of criminal offences corresponding to the binding supranational indications, to protect the legitimate uses of virtual currencies and against their abuse for criminal purposes.
1. Valute virtuali e possibili qualificazioni
Le valute virtuali sono una delle forme di manifestazione del binomio tecnologia e finanza (1) maggiormente dirompente rispetto alle coordinate classiche dei sistemi economici tradizionali ed in particolare monetari (2). Espressione della “democratizzazione dei mercati” (3), assumono in considerazione delle loro caratteristiche, poliedrici usi da cui deriva una rilevanza giuridica a più livelli. Per meglio comprendere questa polimorfe natura (4), è utile descriverne le caratteristiche fenomenologiche,
(1) Per Fintech, intesa come applicazioni tecnologiche nell’offerta di servizi finanziari, si rinvia a Greco, Valute virtuali e valute complementari, tra sviluppo tecnologico e incertezze regolamentari, in Rivista di diritto Bancario, 1/2019, 91. (2) In questo senso Cian, La criptovaluta-alle radici dell’idea giuridica di denaro attraverso la tecnologia: spunti preliminari, in Banca Borsa Titoli di Credito, 3/2019, pag. 315, secondo cui “Il primo dato che balza agli occhi, e in cui massimamente si manifesta la portata del fenomeno come esperienza di rottura rispetto agli schemi economico-giuridici tradizionali, è quello della spontaneità e della diffusività che caratterizza il momento genetico delle principali fra queste “monete”: non esiste un’entità emittente e la “moneta” si genera grazie all’operatività di software installati su una pluralità di terminali e tra loro interconnessi, secondo le regole codificate ex ante nel software stesso”. (3) Di Vizio, Lo statuto penale delle valute virtuali, in <www.discrimen.it>, del 19 giugno 2019, 3, il quale discorre di ripudio dell’intermediazione di autorità centrali nelle transazioni private, di ribellione alla pervasività del controllo statuale sul sistema economico. (4) Di Vizio, Lo statuto penale delle valute virtuali, cit., 4 considera la valuta virtuale, in conseguenza delle diverse funzione che può assumere, un “moderno ircocervo, attivo cui non corrisponde alcun passivo, valore econo-
partendo dalle suddivisioni ammesse dalle principali autorità economico -finanziarie (5). Nello specifico, le valute virtuali, a seconda delle modalità di emissione, si distinguono in centralizzate e decentralizzate: le prime sono emesse in un sistema chiuso da un emittente privato, c.d. administrator, le secondo sono create in maniera diffusa mediante sofisticati software e rese disponibili mediante distributed ledger technology, ovvero il protocollo informatico alla base della blockchain (6). Per essere più chiari, con quest’ultima tecnica, le singole operazioni, sotto forma di blocchi, collegati tra loro in maniera immutabile e in ordine cronologico attraverso un sistema di marche temporali, sono annotate in una data base condiviso (7).
mico per via convenzionale e per scarsità artificiale, di natura digitale, a base elettronico-informatica”. (5) Sul punto si rimanda a Dal Rold, Innovazione tecnologica ed implicazioni penalistiche. Le monete virtuali, in Giurisprudenza Penale Web, 2/2019, 1-4, che riporta le valutazioni in proposito operate nei vari report e studi, da quello della BCE dell’ottobre del 2012 a quello della BANCA D’ITALIA del 30 gennaio 2015. (6) Sulla natura e caratteristiche di questo database aperto e distribuito contenente una sequenza di dati immutabili e sulle sue applicazioni pratiche, non più confinate alle criptovalute, si rinvia a Visconti, La valutazione delle blockchain: internet of value, network digitali e smart transaction, in Il Diritto Industriale, 3/2019, 302-303. (7) Accinni, Profili di rilevanza penale delle “criptovalute” (nella riforma della disciplina antiriciclaggio del 2017), in Archivio penale, 1/2018, 3.
DIRITTO DI INTERNET N. 3/2020
397
SAGGI Il c.d. decreto semplificazione 2019 ha fornito una definizione normativa di distributed ledger technology includendo “tutte le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili” (8). Ed ha collegato al suo funzionamento gli effetti giuridici della validazione temporale elettronica, di cui all’art. 41 del Regolamento UE n. 910/2014 (9). Nonostante quanto sopra, queste operazioni risultano sì tracciate, ma pseudo-anonime, nel senso che non sono associate all’identità dell’ordinante e del ricevente, ma ai loro account del portafoglio elettronico detenuto (c.d. wallet), nello specifico ad un codice alfanumerico coincidente con le relativi chiavi pubbliche di accesso (10). A complicare il tutto sussiste la possibilità che l’user decida di ricorrere a servizi di mixing (11), mediante i quali non sarà possibile individuare e associare per le singole operazioni i conti di entrata e quelli di uscita. Quanto sopra vale ad esempio per i bitcoins (12), mentre per altre valute dette Altcoins, come Monero, il protocollo di funzionamento riduce ulteriormente la pubblicità
(8) In questi termini l’art. 8 ter della legge 11 febbraio 2019, n. 12, di conversione con modificazioni, del decreto-legge 14 dicembre 2018, n. 135, recante disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione. (9) Favaloro, Decreto Semplificazioni 2019: blockchain e smart contract diventano legge, in Quotidiano Giuridico del 6 febbraio 2019, il quale evidenzia come la previsione legislativa attribuisca alla registrazione di un documento nella blockchain la certezza circa i suoi estremi temporali, con possibilità di opporre il tutto a terzi; nello specifico è stato così assimilato l’utilizzo di tecnologie basate su registri distribuiti alla validazione temporale elettronica di cui all’art. 41 del Regolamento UE n. 910/2014, con la conseguenza che debbono essergli riconosciuti effetti giuridici, tra cui l’ammissibilità come prova in giudizio. (10) Rinaldi, Approcci normativi e qualificazione giuridica delle criptomonete, in Contratto e Impresa, 1/2019, 265, per cui “un tale mascheramento non esclude la possibilità di ricavare, attraverso un incrocio dei dati contenuti nella blockchain unitamente alle tracce lasciate sul web dal soggetto che ha concretamente disposto le operazioni, la reale identità dell’individuo cui è riconducibile la chiave pubblica e, quindi, tutte le transazioni che lo hanno riguardato”.
398
delle transazioni ed include un sistema di mixing automatico (13). Destinando ai paragrafi successivi l’analisi dello sfruttamento a fini illeciti del segnalato anonimato, per le valute decentralizzare con tecnologia blockchain si evidenzia che ad essere diffusa è la validazione della singola transazione. Tale attività, c.d. mining, consiste nella decriptazione, da parte di coloro che posseggono appositi software e hardware, attraverso complessi calcoli matematici, della chiave criptata di accesso al conto/portafoglio elettronico da cui partirà il trasferimento: il miner che riesce ad operare per primo la predetta decriptazione riceve in riconoscimento un dato ammontare di nuova valuta virtuale (14). Il meccanismo delineato consente, in questo modo, contemporaneamente l’emissione di nuova moneta e la certificazione delle transazioni, che avvengono su apposite piattaforme peer- to- peer attraverso cui sono messi in contatto gli users e sulle quali l’intermediazione di operatori professionali è limitata alla sola messa a disposizione del portafoglio elettronico necessario per la detenzione e movimentazione delle valute (15). Da queste piattaforme si distinguono quelle di trading indiretto, in cui l’acquisto avviene rivolgendosi ai “cambiavalute virtuali”, i cd. exchangers, che vendono, ad un tasso di cambio, valuta virtuale in cambio di moneta reale (16). A secondo, in particolare, dell’interazione con quest’ultima, si distinguono le valute virtuali chiuse, che non sono né acquistabili, né convertibili in moneta reale ed utilizzabili esclusivamente nel mondo virtuale, da quelle aperte, acquistabili e convertibili in moneta legale, a loro volta suddivise in aperte bidirezionali, connotate da una convertibilità piena, ed aperte unidirezionali,
(13) Accinni, op. cit., 8. (14) D’Agostino, op. cit., 10, che mette in luce come la creazione, mediante conferimento, di valuta virtuale di nuovo conio è, da un lato, la contropartita della volontaria messa a disposizione di software ed energia elettrica finalizzata ad aumentare la potenza di calcolo dell’infrastruttura tecnologica, dall’altro lo strumento per prevenire fenomeni di double spending.
(11) Si rimanda per un’analisi di questi servizi a D’Agostino, Operazioni di emissione, cambio e trasferimento di criptovaluta: considerazioni sui profili di esercizio (abusivo) di attività finanziaria a seguito dell’emanazione del D. Lgs. 90/2017, in Rivista di diritto Bancario, 1/2018, 11-12, che ne definisce in questi termini il funzionamento: “un utente deposita un determinato ammontare di criptovaluta su uno o più conti di ingresso, per poi riprendersi il denaro virtuale su conti di uscita preesistenti o appositamente creati. Il mixer farà in modo che non sia possibile associare direttamente l’ammontare di denaro depositato all’ammontare ritirato alla fine, e tratterà – quale corrispettivo della propria intermediazione – una percentuale sul valore della transazione”.
(15) Rinaldi, op. cit., 265, che discorre di ”trustless trust, vale a dire un meccanismo di affidamento collettivo che per sostenersi ed operare non ha bisogno del supporto di organi gerarchicamente sovraordinati rispetto ai suoi utilizzatori: gli eventuali contrasti non vengono risolti attraverso l’intervento di un’autorità sovraordinata, ma automaticamente, nell’approccio strutturalmente decentralizzato del consenso distribuito. Questi stessi attributi rendono bitcoin difficile da censurare o manomettere, in quanto non vi è un punto centrale di controllo che può essere bloccato oppure condizionato. Il sistema, tuttavia, resta astrattamente fallibile”.
(12) Si rinvia per l’analisi di come è nata questa moneta virtuale, su come funzione e quali caratteristiche peculiari ha a Sicignano, Bitcoin e riciclaggio, Torino, 2019, 23 ss.
(16) Di Vizio, op. cit., 17, che definisce ed individua i vari prestatori di servizi in valute virtuali, componenti, a suo dire, dell’ecosistema delle valute virtuali.
DIRITTO DI INTERNET N. 3/2020
SAGGI acquistabili in moneta reale ma non convertibili nella stessa (17). La possibilità, in generale, di utilizzare le valute virtuali per l’acquisto di beni o servizi sia reali sia virtuali consente che esse siano impiegate come mezzo di scambio, ancorché su base consensuale (18): “nella misura in cui esse vengono accettate quale mezzo di pagamento di beni e servizi e veicolano pertanto permanentemente un proprio potere d’acquisto, assumono nel contesto della circolazione dei beni medesimi il ruolo tipico della moneta, consentendo al loro titolare di negoziarle in cambio dell’aspettativa al conseguimento futuro di altri beni entro la comunità che convenzionalmente la riconosce” (19). L’evoluzione degli scambi in valute virtuali ne ha messo in luce impieghi che vanno oltre la funzione di pagamento, implicando sviluppi a carattere speculativo finanziario. Non si tratta semplicemente delle possibilità di guadagni derivanti dalle oscillazione del tasso di conversione in moneta reale, ma di veri e propri investimenti a rischio veicolati attraverso ICO (initial coin offer) (20) di token. Con tale termine si identifica un meccanismo di raccolta di fondi necessari a finanziare un progetto imprenditoriale, mediante l’emissione di c.d. coin o token digitali in luogo di strumenti finanziari tradizionali. I token, che possono essere acquistati dagli investitori sia mediante moneta legale o valuta virtuale, si presentano come una forma evoluta di quest’ultima, dalle caratteristiche simili alle quote azionarie, essendo attribuiti al detentore rendimenti e/o diritti relativi al progetto finanziato La Consob, l’autorità italiana per la vigilanza dei mercati finanziari, ha adottato diversi provvedimenti nei confronti di società che offrono investimenti in criptovalute, sanzionandole, da un lato, per abusivismo, e sospendendo, dall’altro, in via cautelare le ICO di token che non rispettano le disposizioni normative e regola-
(17) Bocchini, Lo sviluppo della moneta virtuale: primi tentativi di inquadramento e disciplina tra prospettive economiche e giuridiche, in Diritto dell’Informazione e dell’Informatica, 1/2017, 27. (18) Greco, Valute virtuali e valute complementari, tra sviluppo tecnologico e incertezze regolamentari, cit., 18 che mette in rilievo come la “valuta virtuale non abbia efficacia solutoria legale, ma solo su base convenzionale, cioè laddove il beneficiario accetti la predetta valuta come mezzo di estinzione dell’obbligazione pecuniaria”. (19) Così Cian, La criptovaluta alle radici dell’idea giuridica di denaro attraverso la tecnologia: spunti preliminari, cit., 325. (20) Di Lernia, Crowdfunding @ICOs: esigenze di prevenzione del rischio di commissione di reati nell’era della digital economy, in Diritto Penale Contemporaneo, Rivista trimestrale, 2/2019, 103-104, che definisce le ICOs, al pari delle piattaforme di crowdfunding, come “strumenti di “disintermediazione della raccolta di risparmio per finanziare, direttamente e senza intermediari, progetti imprenditoriali e tecnologici con ambizione di scala globale”.
mentari in tema di offerta al pubblico di prodotti finanziari (21). Alla base di questi provvedimenti vi è la qualificazione come “investimento di natura finanziaria” delle valute virtuali che implichino “(i) un impiego di capitale; (ii) un’aspettativa di rendimento di natura finanziaria; (iii) l’assunzione di un rischio direttamente connesso e correlato all’impiego di capitale”. In particolare si equipara la ICO di token ad un’offerta al pubblico di prodotto finanziario quando “l’elemento causale della proposta negoziale è riconducibile alla produzione di un rendimento finanziario quale corrispettivo dell’impiego di capitale conferito dal percettore del rendimento medesimo che, quindi, conferisce il proprio denaro con un’aspettativa di profitto (22)”. Nel recente rapporto pubblicato il 2 gennaio 2020, conclusivo della consultazione pubblica sollecitata a marzo 2019, Consob, al fine d’individuare le basi per una futura regolamentazione per le offerte inziali e gli scambi di cripto-attività, ha definito queste ultime come “diverse dagli strumenti finanziari di cui all’art. 1 comma 2 TUF e da prodotti di investimento di cui al comma 1, lettere w-bis.1, w-bis.2 e w-bis.3, consistenti nella rappresentazione digitale di diritti connessi a investimenti in progetti imprenditoriali, emesse, conservate e trasferite mediante tecnologie basate su registri distribuiti, nonché negoziate o destinate a essere negoziate in uno o più sistemi di scambi” (23). Lo sforzo definitorio e regolamentare ha interessato anche la fase della successiva negoziazione, che per Consob, al pari dell’emissione, va presidiata con tutele informative per gli investitori. Sul punto, il documento prevede esplicitamente un meccanismo di opt-in, che consenta al promotore dell’ICO o all’offerente di token di far ricorso a piattaforme e contesti regolamentati, prevedendo la loro iscrizione su base volontaria, a seconda dell’attività svolta, nel registro dei gestori per i “sistemi di scambi di cripto-attività” o in quello dei “fornitori di servizi di portafoglio digitale” (24), in questo modo presidiando, anche, i ri (21) Si rimanda sul punto al Report diffuso dalla Consob “Rischi per i consumatori: valute virtuali e criptovalute” del 2 maggio 2019, rinvenibile nella sezione documenti del sito <www.consob.it>, che contiene l’elenco dei provvedimenti adottati dalla Consob in merito a società che offrono investimenti in criptovalute. (22) In questo senso, tra le tante, la delibera n. 2081 del 14 febbraio 2019, consultabile nel Bollettino delle delibere Consob sul sito <www. consob.it>, con cui è stata vietata, ai sensi dell’art. 99, comma 1, lett. d), del D. lgs. n. 58/1998, l’offerta al pubblico avente ad oggetto investimenti di natura finanziaria promossa dalla Cryptoforce Ltd. (23) Testualmente il Rapporto finale della Consob “Le offerte iniziali e gli scambi di cripto-attività”, 2 gennaio 2020, in <www.consob.it>, 6-7. (24) Si tratta dei c.d. “wallet provider” che sono definiti, all’art. 1 comma 2, lett. ff bis del d.lgs. 231/07, modificato dal d.lgs. n. 125/2019, di attuazione della V direttiva antiriciclaggio UE 2018/843, come “ogni
DIRITTO DI INTERNET N. 3/2020
399
SAGGI schi connessi ai servizi di post-trading, ossia ai servizi di custodia e alle attività di regolamento delle contrattazioni, che le piattaforme exchange centralizzate svolgono in qualità di custodial wallet provider (25). A livello sovranazionale, la Commissione EU, interrogandosi anch’essa sulla sufficienza dell’attuale legislazione europea sui servizi finanziari, ha lanciato il 19 dicembre 2019 una consultazione pubblica sulle criptoattività, ponendosi come obiettivo la valutazione della necessità di una regolamentazione apposita al fine di neutralizzare i rischi di frodi, attacchi informatici, manipolazioni del mercato connessi ad investimenti di questo tipo (26). Nella medesima direzione si muove, con specifico riferimento alle frodi Iva, anche la Risoluzione legislativa del Parlamento Europeo del 17 dicembre 2019 sulla proposta di direttiva del Consiglio, che modifica la direttiva 2006/112/CE, per quanto riguarda l’introduzione di taluni requisiti per i prestatori di servizi di pagamento (27): si chiede alla Commissione di valutare entro tre anni se nell’ambito di applicazione di tale direttiva debbano essere incluse le piattaforme di scambio delle valute virtuali. La predetta richiesta di modifica si inserisce in un percorso legislativo in tema di valute virtuali usate come mezzi di pagamento già particolarmente avviato, che coinvolge direttamente lo stesso diritto penale. In particolare la direttiva UE 2019/713 del 17 aprile 2019, partendo dal presupposto che “la decisione quadro 2001/413/GAI deve essere aggiornata e integrata per includere nuove disposizioni in materia di reati, con riferimento in particolare alla frode informatica, in materia di sanzioni, persona fisica o giuridica che fornisce, a terzi, a titolo professionale, anche on line, servizi di salvaguardia di chiavi crittografiche private per contro dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”. I predetti soggetti sono stati inseriti in attuazione degli obblighi sovranazionali tra gli obbligati antiriciclaggio; sull’impatto di questo inserimento con riferimento al contrasto degli abusi delle valute virtuali si rimanda al paragrafo 5 del presente articolo. (25) La scelta d’istituire questo doppio elenco viene giustificata in considerazione della circostanza che per i sistemi di scambi di cripto-attività le c.d. piattaforme exchange centralizzate operano sia come piattaforma di trading che come fornitore del servizio di custodial wallet, agendo l’exchange anche da “internalizzatore di regolamento”, registrando sui propri sistemi il trasferimento di token conseguente alle negoziazioni. In questi termini il Rapporto finale della Consob “Le offerte iniziali e gli scambi di cripto-attività”, cit., 15.16.
400
prevenzione, assistenza alle vittime e cooperazione transfrontaliera”, stabilisce norme minime relative ai reati e alle sanzioni contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, includendo specificatamente le valute virtuali (28).
2. La direttiva UE 2019/713 e la disciplina penale degli usi delle valute virtuali
La competenza legislativa penale dell’Unione Europea esercitata con la direttiva in esame muove dal duplice obiettivo di contrastare le fonti di entrate della criminalità organizzata e di apprestare contemporaneamente apposita tutela ai consumatori e alle imprese, garantendo il regolare sviluppo del mercato digitale (29). Come è stato rappresentato da autorevole dottrina con riferimento proprio alle valute virtuali, si tratta di “attività e servizi “a doppio uso” (30); la direttiva 713, in linea con un approccio tecnologicamente neutro (31), ne vuole tutelare in via diretta l’uso legittimo attraverso misure penali di contrasto alle frodi, accompagnate dalla previsione di meccanismi che ne facilitino l’emersione (32) e la repressione cooperativa (33) e completate dall’imposizione di apposite forme di assistenza alle vittime di reato (34). Sul piano dell’ambito di operatività della predetta direttiva, l’art. 2 lo identifica procedendo dalla definizio (28) Al considerando 10 è precisato che le valute virtuali sono oggetto della presente direttiva solo nella misura in cui possono essere comunemente utilizzate per effettuare pagamenti e che “la definizione del termine di “mezzi di scambio digitali” dovrebbe riconoscere che i portafogli elettronici per il trasferimento di valute virtuali possono presentare, ma non presentano necessariamente, le caratteristiche di uno strumento di pagamento e non dovrebbe estendere la definizione di strumento di pagamento”. (29) Sul punto i considerando 1-2 e 7 sono espliciti. (30) Picotti, Profili penali del cyberlaundering: le nuove tecniche di riciclaggio, in Riv. Trim. dir. pen. ec., 3-4/2018, 605, che rappresenta come non si tratti di attività intrinsecamente ed originariamente illegali, ma che possono e sono utilizzate per scopi illeciti. (31) In questo senso il considerando 6. (32) L’art. 15 della direttiva prevede l’istituzione di canali adeguati per agevolare le comunicazioni senza ritardo alle autorità di contrasto e alle altre autorità nazionali competenti per i reati in materia di frode e falsificazione dei mezzi di pagamento diversi dal denaro.
(26) Per analisi dei tempi e contenuti della predetta consultazione si rinvia a <https://ec.europa.eu/info/law/better-regulation/initiatives/crypto-assets-2019/public-consultation_it>.
(33) La direttiva definisce all’art. 12 i criteri di riparto della giurisdizione tra gli Stati membri per i reati di frode e falsificazione dei mezzi di pagamento diversi dal denaro in considerazione della cittadinanza o residenza della vittima ed impone all’art. 14 l’istituzione di un punto di contatto operativo nazionale per trattare le richieste urgenti di assistenza, di cui dovranno essere informati la Commissione, Europol ed Eurojust.
(27) La Risoluzione legislativa del Parlamento europeo del 17 dicembre 2019 sulla proposta di direttiva del Consiglio, che modifica la direttiva 2006/112/CE per quanto riguarda l’introduzione di taluni requisiti per i prestatori di servizi di pagamento (COM(2018)0812 – C8-0015/2019 – 2018/0412(CNS)), è consultabile al sito del Parlamento europeo al seguente link <http://www.europarl.europa.eu/doceo/document/TA-9-20190090_IT.html>.
(34) L’art. 16 della direttiva prevede che “Gli Stati membri si adoperano affinché alle persone fisiche e giuridiche che hanno subito un danno in seguito a reati di cui agli articoli da 3 a 8, commessi mediante l’utilizzazione fraudolenta di dati personali, siano forniti: a) dati informazioni e consigli specifici su come proteggersi dalle conseguenze negative di tali reati, come il danno alla reputazione; e b) un elenco delle istituzioni che si occupano specificamente di diversi aspetti del reato connesso all’identità e del sostegno alle vittime”.
DIRITTO DI INTERNET N. 3/2020
SAGGI ne del concetto più ampio e generale di “strumento di pagamento diverso dai contanti” alla descrizione delle singole species che rientrano in questo concetto (35). Tra queste, nella sottocategoria di “mezzo di scambio digitale”, viene inclusa la valuta virtuale, definita come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è legata necessariamente a una valuta legalmente istituita e non possiede lo status giuridico di valuta o denaro, ma è accettata da persone fisiche o giuridiche come mezzo di scambio, e che può essere trasferita, memorizzata e scambiata elettronicamente” (36). Il medesimo approccio definitorio è adottato in ordine alla descrizione delle condotte, che è operata partendo dall’individuazione del reato principale di utilizzazione fraudolenta di strumenti di pagamento diversi dai contanti seguita dai reati connessi al primo, differenziati in base al carattere materiale o immateriale dello strumento di pagamento. In particolare, l’art. 3 definisce l’utilizzazione fraudolenta in considerazione della natura illecita dello strumento di pagamento, dipendente o dalla sua provenienza o dal suo stato di contraffazione/falsificazione. Gli artt. 4 e 5 definiscono i reati connessi all’utilizzazione fraudolenta, includendovi le condotte sia prodromiche di illecita appropriazione/ottenimento e di contraffazione/falsificazione dello strumento di pagamento, sia quelle successive, ma preliminari rispetto all’utilizzazione, del possesso/detenzione e del procurare per sé o per
altri lo strumento illecitamente conseguito o falsificato (37). Con riferimento a quest’ultima condotta non appare chiaro se l’espressione “compresi” che segue l’atto di procurare abbia una funzione specificativa o inclusiva, d’individuazione di ulteriori e differenti modalità. La prima funzione presupporrebbe l’elencazione di condotte omogenee, ma quelle indicate dalla lett. d) dell’art. 4 lo sono solo parzialmente: vi è omogeneità tra le condotte di ricezione, appropriazione e acquisto, ma non tra queste e quelle di trasferimento, importazione, esportazione, vendita, trasporto e distribuzione. Le prime modalità di cui alla lett. d) presuppongono, infatti, tutte un atto d’incameramento, mentre le seconde si concretizzano in modalità diverse di cessione/messa in circolazione dello strumento di pagamento materiale contraffatto o illecitamente ottenuto. La differenza segnalata avrebbe dovuto consigliare una differenziazione di collocazione delle due categorie di condotte, diverse tra loro anche in termini di disvalore sociale. Questo aspetto non è stato considerato dal legislatore europeo, che ha previsto per entrambe le categoria la finalità della destinazione all’«utilizzazione fraudolenta», la quale, in realtà, nulla aggiunge in termini di pericolosità a comportamenti, quale quelli di cessione/messa in circolazione, già di per sé lesivi del bene tutelato dell’integrità e corretto sviluppo dell’economia digitale.
(35) Per maggiore chiarezza si riporta di seguito il testo integrale dell’art. 2 della direttiva: “Ai fini della presente direttiva si intende per: a) «strumento di pagamento diverso dai contanti» un dispositivo, oggetto o record protetto immateriale o materiale, o una loro combinazione, diverso dalla moneta a corso legale, che, da solo o unitamente a una procedura o a una serie di procedure, permette al titolare o all’utente di trasferire denaro o valore monetario, anche attraverso mezzi di scambio digitali; b) «dispositivo, oggetto o record protetto» un dispositivo, oggetto o record protetto contro le imitazioni o l’utilizzazione fraudolenta, per esempio mediante disegno, codice o firma; c) «mezzo di scambio digitale» qualsiasi moneta elettronica definita all’articolo 2, punto 2, della direttiva 2009/110/ CE del Parlamento europeo e del Consiglio (12) e la valuta virtuale; d) «valuta virtuale» una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è legata necessariamente a una valuta legalmente istituita e non possiede lo status giuridico di valuta o denaro, ma è accettata da persone fisiche o giuridiche come mezzo di scambio, e che può essere trasferita, memorizzata e scambiata elettronicamente; e) «sistema di informazione» un sistema di informazione quale definito all’articolo 2, lettera a), della direttiva 2013/40/UE; f) «dati informatici» i dati informatici quali definiti all’articolo 2, lettera b), della direttiva 2013/40/UE; g) «persona giuridica» qualsiasi entità che abbia personalità giuridica in forza del diritto applicabile, ad eccezione degli Stati o di altri organismi pubblici nell’esercizio dei pubblici poteri e delle organizzazioni internazionali pubbliche”.
(37) Si riporta di seguito il testo integrale rispettivamente dell’art. 4, rubricato Reati connessi all’utilizzazione fraudolenta di strumenti di pagamento materiali diversi dai contanti, e dell’art. 5 rubricato Reati connessi all’utilizzazione fraudolenta di strumenti di pagamento immateriali diversi dai contanti: art.4 “Gli Stati membri adottano le misure necessarie affinché le seguenti condotte, se commesse intenzionalmente, siano punibili come reato: a) il furto o altra illecita appropriazione di uno strumento di pagamento materiale diverso dai contanti; b) la contraffazione o falsificazione fraudolenta di uno strumento di pagamento materiale diverso dai contanti; c) il possesso di uno strumento di pagamento materiale diverso dai contanti rubato o altrimenti ottenuto mediante illecita appropriazione, o contraffatto o falsificato a fini di utilizzazione fraudolenta; d)l’atto di procurare per sé o per altri, compresi la ricezione, l’appropriazione, l’acquisto, il trasferimento, l’importazione, l’esportazione, la vendita, il trasporto e la distribuzione, di uno strumento di pagamento materiale diverso dai contanti rubato, contraffatto o falsificato, a fini di utilizzazione fraudolenta”; art. 5 “Gli Stati membri adottano le misure necessarie affinché le seguenti condotte, se commesse intenzionalmente, siano punibili come reato: a) l’ottenimento illecito di uno strumento di pagamento immateriale diverso dai contanti, almeno se tale ottenimento ha comportato la commissione di uno dei reati di cui agli articoli da 3 a 6 della direttiva 2013/40/UE, o appropriazione indebita di uno strumento di pagamento immateriale diverso dai contanti; b) la contraffazione o la falsificazione fraudolente di uno strumento di pagamento immateriale diverso dai contanti; c) la detenzione di uno strumento di pagamento immateriale diverso dai contanti ottenuto illecitamente, contraffatto o falsificato a fini di utilizzazione fraudolenta, almeno laddove l’origine illecita sia nota al momento della detenzione dello strumento; d) l’atto di procurare per sé o per altri, compresi la vendita, il trasferimento e la distribuzione, o la messa a disposizione, uno strumento di pagamento immateriale diverso dai contanti ottenuto illecitamente, contraffatto o falsificato a fini di utilizzazione fraudolenta”.
(36) La medesima definizione è contemplata nella V direttiva antiriciclaggio UE 2018/843. Si rinvia per un’analisi della stessa e delle ripercussioni giuridiche che conseguono in particolare sul piano della collocazione delle valute virtuali al di fuori di qualsiasi paradigma monetario a Rinaldi, Approcci normativi e qualificazione giuridica delle criptomonete, cit., 282-284.
DIRITTO DI INTERNET N. 3/2020
401
SAGGI Considerazioni analoghe valgono per i reati previsti alla lett. d) dell’art. 5 della direttiva, in ordine ai quali la locuzione “compresi” ha solo una funzione inclusiva- aggiuntiva di condotte di scambio diverse dall’atto di procurare per sé e per altri, con conseguente riproposizione delle distorsioni sopra segnalate. La predetta finalizzazione all’utilizzazione fraudolenta, che può essere qualificata in termini di dolo specifico (38), appare invece particolarmente utile per i reati di possesso/detenzione previsti dagli artt. 4 e 5 alle rispettive lett. c): evita da un lato, trattandosi di reati ostativi, quella anticipazione di tutela in assenza di profili di offensività, dall’altro consente l’incriminazione a prescindere dalla ricorrenza di concorso o complicità con l’autore della falsificazione o contraffazione. A conferma della ratio sopra delineata si evidenzia che l’art. 8 impone per tutti i reati di cui agli artt. 4 e 5 la punibilità anche a titolo di concorso, favoreggiamento ed istigazione a commetterli, mentre consente la punibilità anche a titolo di tentativo solo per i reati di cui alle lett. a), b) e d), con esclusione espressa, dunque, delle fattispecie di possesso di strumento materiale e di detenzione di strumento immateriale. Con riguardo proprio alla detenzione di cui alla lett. d) dell’art. 5, si segnala che l’incriminazione è ulteriormente circoscritta, essendo condizionata alla circostanza che “l’origine illecita sia nota al momento della detenzione dello strumento”. Si tratta di una specificazione che è conseguenza del carattere immateriale del mezzo di pagamento- per cui non è ictu oculi percepibile il marchio della sua provenienza o formazione illecita- che è più rischiosa che utile, perché sembrerebbe, se confrontata con la condotta di possesso dello strumento di pagamento materiale, consentire la punizione di quest’ultima in assenza della consapevolezza del suo carattere illecito. È sempre conseguenza della natura immateriale dello strumento di pagamento la previsione, alla lett. a) dell’art. 5, dell’incriminazione della condotta di ottenimento laddove abbia comportato la commissione di uno dei reati di cui agli artt. 3 e 6 della direttiva 2013/40/ UE relativa agli attacchi contro i sistemi di informazione (39).
La predetta previsione appare certamente apprezzabile, se si considera che proprio con riguardo alle valute virtuali l’operato penalmente rilevante di terzi può attaccare direttamente la piattaforma digitale che detiene il wallet per l’utente. In generale, a causa della loro natura digitale (40), la disponibilità delle valute virtuali si realizza attraverso i portafogli elettronici, che sono meri file di dati, che a seconda della tipologia possono essere memorizzati sul desktop del proprio pc o sul proprio smartphone o ancora collegati in rete. Le condotte di apprensione di questi strumenti hanno, pertanto, tecnicamente ad oggetto la chiave crittografica privata, che associata a quella pubblica consente lo scambio di valuta virtuale; ovvero la password e lo username del sito al quale l’utente le ha affidate. Per la possibilità segnalata di memorizzazione di questi dati su supporti materiali, come il proprio pc, sarebbe stato utile indicare come ulteriore condotta da incriminare quella di furto o d’illecita appropriazione, anziché d’indebita appropriazione che, in maniera restrittiva, sembra rimandare al conseguimento della valuta virtuale in conseguenza di una previa disponibilità delle relative informazioni o del supporto su cui sono memorizzate (41). Sempre con riferimento alla sottrazione di valute virtuali, particolarmente appropriato è il reato di cui all’art. 6, che descrive la frode connessa a sistemi d’informazione come l’atto di effettuare o indurre un trasferimento di denaro, valore monetario o di valuta virtuale al fine di conseguire un ingiusto profitto con altrui danno, “ostacolando, senza diritto, il funzionamento di un sistema di informazione o interferendo con esso” o “introducendo, alterando, cancellando, trasmettendo o sopprimendo, senza diritto, dati informatici”. Nella predetta fattispecie rientrano prassi illecite sorte con riferimento ai servizi home banking, come lo stesso phishing (42), che con alcune varianti è realizzabile anche ai fini dell’apprensione delle valute virtuali. Accanto al phishing, la realtà ha messo in luce diversi meccanismi di truffa in valuta virtuale, che vanno dal
(38) Per la definizione di questa figura e il relativo inquadramento dogmatico e sistematico si rinvia a Picotti, Il dolo specifico. Un’indagine sugli “elementi finalistici” delle fattispecie penali, Milano, 1993. Specificatamente sulla funzione tipizzante che ha il fine rispetto alla condotta, prima ancora che al profilo soggettivo del reato, 501-502.
(40) Sicignano, Bitcoin e riciclaggio, cit., 43.
(39) Per l’analisi dei contenuti di questa direttiva con specifico riferimento alle fattispecie di accesso abusivo ai sistemi di informazione ed intercettazione illecita, fabbricazione di malware e diffusione di password si rinvia a Conigliaro, La nuova tutela penale europea dei sistemi di informazione. Una prima lettura della direttiva 2013/40/UE del Parlamento Europeo e del Consiglio, in <www.penalecontemporaneo.it>, del 30 ottobre 2013.
402
DIRITTO DI INTERNET N. 3/2020
(41) In questo senso depone il considerando 15 da cui risulta che “per appropriazione indebita si dovrebbe intendere la condotta dell’utilizzo consapevole e senza diritto, a vantaggio proprio o di altri, di uno strumento di pagamento immateriale diverso dai contanti, da parte del soggetto cui è stato assegnato”. (42) Sulla ricostruzione di questo fenomeno e sul relativo inquadramento penalistico si rinvia a Cajani-Costabile-Mazzaraco, Phishing e furto d’identità digitale. Indagini informatiche e sicurezza bancaria, Milano, 2008; Flor, Phishing e profili penali dell’attività illecita di “intermediazione” del cd. Financial manager, in Diritto penale e processo, 1-2012, 55 ss.
SAGGI semplice schema Ponzi (43)- in cui si è spinti ad acquistare inesistenti valute virtuali con riconoscimento di premi ed ulteriori guadagni per chi recluti nuovi investitori, a loro volta vittime della truffa- alla creazione o di finte ICO, simili apparentemente a quelle di siti realmente esistenti, o di false offerte di valute virtuali note, come è accaduto per Lybra (44), la valuta virtuale di Facebook, o ancora di false app di portafogli elettronici mediante le quali attuare le c.d. wallet address scams. È quanto accaduto con l’app Trezor Mobile Wallet, che è stata bloccata da Google Play; la predetta app, anziché rimandare al popolare portafoglio di criptovalute Trezor dirottava l’utente su un’altra falsa app chiamata Coin Wallet con conseguente esecuzione di trasferimenti di moneta virtuale sui wallet degli hacker (45). Casi, come quello sopra segnalato, anche in assenza del conseguimento del mezzo di pagamento, potrebbero rilevare penalmente sulla base delle previsioni dell’art. 7 della direttiva, che impone agli Stati di rendere punibili come reato le condotte aventi ad oggetto la realizzazione e diffusione “di un dispositivo o di uno strumento, di dati informativi o di altri mezzi principalmente progettati o specificatamente adattati al fine di commettere uno dei reati di cui all’art. 4, lett. a) e b), all’art. 5 , lett. a) e b) o all’articolo 6, almeno se commessi con l’intenzione di utilizzare tali mezzi”. Previsione analoga è presente anche nella direttiva 2013/40 con riferimento a dispositivi come un “programma per computer, destinato o modificato principalmente al fine di commettere uno dei reati di cui agli articoli da 3 a 6” (46). Ma quella in esame appare più restrittiva, perché richiede altresì che il dispositivo sia specificatamente adattato al fine di commettere il reato e che la condotta sia posta in essere con l’intenzione di utilizzarlo per la realizzazione del reato. In questo modo, l’anticipazione della soglia di rilevanza penale viene contenuta attraverso la duplice previsione della idoneità oggettiva del dispositivo ad usi illeciti e della sua destinazione finalistica alla realizzazione di re-
(43) In questo senso si segnala la vicenda realmente accaduta consultabile al seguente link <https://www.ilsole24ore.com/art/new-york-processa-ignatov-guru-criptomonete-fantasma-ACwKAlZ>. (44) La vicenda mediatica è stata trattata da diverse testate giornalistiche on line tra cui Il Sole 24 ore, a cui si rimanda al seguente indirizzo https://www.ilsole24ore.com/art/si-puo-gia-comprare-libra-occhio-prima-truffa-valuta-facebook-ACicBba. (45) Si rinvia in proposito al seguente link <https://www.repubblica.it/ tecnologia/sicurezza/2019/05/30/news/google_play_rimosse_false_app_di_ trezor_per_criptovalute-227557851/>. (46) Per l’analisi del contenuto di questa previsione della direttiva sull’attacco ai sistemi d’informazione si rimanda a Salvadori, Criminalità informatica e tecniche di anticipazione della tutela penale. L’incriminazione dei “dual-use software”, in Riv.it. di dir. e proc. pen., 2/2017, 757-759.
ati in ordine ai quali la condotta incriminata si pone in rapporto di strumentalità (47).
3. Trattamento sanzionatorio, responsabilità e protezione delle persone giuridiche ai sensi della direttiva UE 2019/713
L’art 9 della direttiva UE 2019/713 fissa i livelli sanzionatori per le varie fattispecie, richiedendo per il reato di utilizzazione fraudolenta e per i reati connessi, previsti alle lett. a) e b) degli artt. 4 e 5, nonché per quello concernenti i mezzi per la loro realizzazione di cui all’art.7, una pena detentiva massima non inferiore a 2 anni. La misura massima della pena scende invece ad un anno per i reati stabiliti dalle lett. c) e d) degli artt. 4 e 5. Questa scelta sanzionatoria non appare conforme alla diversità tipologica ed offensiva delle condotte contemplate congiuntamente dalle predette voci, né al trattamento sanzionatorio più grave stabilito per i reati descritti all’art. 7. Poco equilibrata appare la scelta del legislatore europeo di punire più severamente condotte, quali quelle di ottenimento/messa a disposizione di mezzi per contraffare od ottenere illecitamente gli strumenti di pagamento, che sono antecedenti rispetto alla detenzione/scambio degli strumenti ottenuti medianti i predetti i mezzi, a loro volta costituenti condotte prodromiche rispetto all’utilizzazione fraudolenta: all’arretramento della soglia della rilevanza penale non corrisponde, cioè, una proporzionata risposta edittale. La pena massima è ulteriormente aumentata fino a tre anni per la frode connessa ai sistemi di informazione e fino a 5 anni per tutti i reati contemplati dalla direttiva in esame che siano commessi nell’ambito di un’organizzazione criminale quale definita nella decisione quadro 2008/841/GAI (48). Apposite disposizioni, non solo sanzionatorie, sono dettate anche per le persone giuridiche, richiedendo l’art. 10 l’introduzione della loro responsabilità per i reati previsti dalla stessa direttiva che siano commessi a loro vantaggio sia da soggetti di vertice, sia anche da soggetti subordinati, in conseguenza dell’omessa vigilanza da parte dei primi. In virtù del tenore letterale dell’art. 10 la responsabilità dell’ente dovrebbe scattare in presenza della sola ricor (47) Salvadori, op. cit., 787, secondo cui con queste tecniche di normazione si tipizza “la proiezione conflittuale della condotta dell’agente nei confronti del contrapposto interesse facente capo al soggetto passivo anche se di per sé indeterminato”. (48) La predetta decisione definisce organizzazione criminale “l’associazione strutturata di più di due persone, stabilita da tempo, che agisce in modo concertato allo scopo di commettere reati punibili con una pena privativa della libertà o con una misura di sicurezza privativa della libertà non inferiore a quattro anni o con una pena più grave per ricavarne, direttamente o indirettamente, un vantaggio finanziario o un altro vantaggio materiale”.
DIRITTO DI INTERNET N. 3/2020
403
SAGGI renza di un suo vantaggio derivante dalla commissione di questi reati. A prescindere dal rischio di oggettivizzazione della responsabilità dell’ente (49), la trasposizione nazionale di questa misura alimenta il dibattitto sulla permanenza della previsione del binomio interesse-vantaggio quale criterio d’imputazione oggettiva fissato dal d.lgs. 231/2001 (50). Altro aspetto su cui il legislatore nazionale dovrà intervenire riguarda l’introduzione di forme di supporto alla persona giuridica vittima di frodi e falsificazione. Sotto questo profilo, la direttiva, in linea con la competenza legislativa penale che riguarda la tutela dell’uso legittimo di questi strumenti, prescrive l’adozione delle medesime misure di assistenza e sostegno sia per la persona fisica che per quella giuridica che abbia subito un danno in conseguenza dei reati esaminati, commessi con utilizzazione fraudolenta di dati personali; è, invece, prescritta al paragrafo 3 dell’art. 16 solo per l’ente la possibilità di ottenere tempestivamente informazioni su come presentare una denuncia. La lettura combinata della predetta disposizione con il considerando 34 consente di parlare di un vero e proprio diritto, la cui previsione, da un lato, rimedia all’inapplicabilità all’ente della direttiva 2012/29/UE in materia di diritti, assistenza e protezione delle vittime di reato, e dall’altro si pone come presidio per le piccole e medie imprese che contribuisca “a creare un contesto imprenditoriale ad esse più favorevole”. Gli spunti che derivano dalla direttiva sono davvero molteplici ed il suo recepimento proprio con riferimento alla responsabilità amministrativa da reato degli enti potrà essere, anche, l’occasione per importanti novità in termini di revisione del catalogo dei reati presupposto. Analizzando nel prosieguo la presenza di fattispecie nazionali già vigenti, che risponderebbero in tutto o in parte alle prescrizioni della direttiva, nella prospettiva delineata sarebbe di certo predicabile l’inserimento nel catalogo del d.lgs. 231/2001 dei delitti di frode informatica e d’indebito utilizzo e falsificazione di carte di credito o di pagamento.
(49) Sulla natura della responsabilità da reato dell’ente, sulla base della disciplina dell’ordinamento italiano, si rinvia a Pulitanò, voce Responsabilità amministrativa per i reati delle persone giuridiche, in Enc. Giur., VI, Milano, 2002, 955 ss; De Vero, La responsabilità penale delle persone giuridiche, Parte generale, Milano, 2008; Manno, Non è colpa mia! Alla ricerca della colpevolezza perduta nella responsabilità “da reato” degli enti collettivi”, in Riv. Trim. dir. pen. ec., 1-2/2018 123 ss e, con specifico riferimento alla natura della colpevolezza di organizzazione in ordine ai reati commessi dai soggetti di vertice, 152-159. (50) Sulla definizione delle nozioni d’interesse e vantaggio, alla luce anche della giurisprudenza nazionale, si rinvia a Pietrocarlo, nota a Cass. pen. sez. IV, 23.5.2018 n. 38363, in Riv. Trim. di dir. pen. ec., 3-4/2018 812 ss. e relativa bibliografia.
404
DIRITTO DI INTERNET N. 3/2020
La mancata previsione di questi delitti appare oggi ingiustificata e foriera d’inammissibili vuoti di tutela se confrontata con la previsioni, quali reati presupposti della responsabilità dell’ente, all’art. 24 della frode informatica a danno dello Stato e all’art. 24 bis di altri reati informatici.
4. Le fattispecie nazionali
Gli Stati membri sono tenuti a conformarsi alla direttiva UE 2019/713 entro il 31 maggio 2021; in vista di tale termine, ci si interroga sulla presenza o meno nel nostro ordinamento di fattispecie corrispondenti alle vincolanti indicazioni sovranazionali. In via preliminare, in considerazione dell’oggetto dei reati della direttiva, non rilevano ai fini della presente indagine i delitti di falsità o alterazione di monete, contemplati al capo I del titolo VII del libro II del codice penale italiano, i quali sono relativi esclusivamente alla moneta fisica avente corso legale nello Stato o fuori di esso (51). Alla luce delle prescrizioni della direttiva potrebbe essere, però, valutata l’introduzione di un capo organico ed apposito in materia di falsificazione e frode che riguardino gli strumenti di pagamento diversi dal contante, simile a quello concernente il falso nummario, le cui fattispecie non possono essere semplicemente estese. A prescindere, infatti, dalla diversità dell’oggetto, che potrebbe essere sanata con l’introduzione di una previsione di parificazione espressa, le fattispecie monetarie di falso, detenzione e spendita di cui agli artt. 453, 454, 455, 457 e 461 c.p. coincidono dal punto di vista modale solo parzialmente con le prescrizioni della direttiva. In una prospettiva de iure condito, la punizione delle condotte indicate dal legislatore europeo potrebbe, di contro, essere attuata attraverso i reati di truffa, ricettazione, indebito utilizzo e falsificazione di carte di credito e di pagamento, nonché mediante i reati informatici previsti dagli artt. 615 ter, 615 quater, 617 quinques c.p.. Sarebbe, ad esempio, sanzionabile ai sensi dell’art. 640 c.p., quale ottenimento illecito di uno strumento di pagamento immateriale diverso dal contante, la condotta di chi prospettando finti servizi, si faccia dare quale prezzo valute virtuali, incamerandole senza alcuna contropartita. Per l’incriminazione della frode connessa ai sistemi di informazione, di cui all’art. 6 della direttiva, risulta invece applicabile il delitto di frode informatica (52).
(51) Di Vizio, Lo statuto penale delle valute virtuali, cit., 56. (52) In questo senso Carrer, Lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti: emanata la direttiva (UE) 2019/73, in Giurisprudenza Penale Web, 7-8/2019.
SAGGI La fattispecie prevista dall’art. 640 ter c.è stata introdotta proprio al fine d’incriminare quelle ipotesi in cui l’azione fraudolenta non è indirizzata alla persona che subisce o determina la perdita patrimoniale, ma al funzionamento di un sistema informatico o telematico, che viene alterato o ai dati, alle informazioni e ai programmi in esso contenuto, operando un intervento senza diritto (53). Il predetto reato, a cui la giurisprudenza fa comunemente ricorso per l’incriminazione del phishing (54), è descritto in maniera anche più ampia, richiamando genericamente ogni atto di “procurare per sé o per altri un ingiusto profitto”, mentre l’art. 6 della direttiva fa riferimento al più specifico e limitato “atto di effettuare o indurre un trasferimento di denaro, valore monetario o di valuta virtuale”. Anche per quanto riguarda l’oggetto e l’eziologia della condotta, l’art. 6 presenta un contenuto più dettagliato e limitato rispetto all’art. 640 ter c.p., che fa, invece, riferimento alle condotte di “alterazione” in qualsiasi modo del funzionamento di un sistema informatico, certamente inclusiva della condotta di “ostacolo” indicata dalla direttiva, e a quella d’intervento “senza diritto” non solo sui dati, ma anche sulle informazioni e programmi del sistema. L’utilizzo, con riferimento alle due condotte, dell’espressioni “in qualsiasi modo” e “con qualsiasi modalità” permette di ricomprendere contegni diversi ed ulteriori rispetto a quelli indicati dalla direttiva, rendendo la fattispecie al passo con l’evoluzione della fantasia dei cybercriminali. Nella realtà applicativa frequente è la contestazione, insieme alla frode informatica, dei reati cui agli artt. 615
(53) Si rimanda in ordine all’esame dei contenuti di questo delitto a Picotti, Reati Informatici, in Enc. Giur. Treccani, Aggiornamento, VIII, Roma, 2000, 1 ss. in specie 7 ss; Bartoli, La frode informatica tra “modellistica”, diritto vigente, diritto vivente e prospettive di riforma, in Dir. inf., 3/2011, 383 ss.; Vitale, Brevi riflessioni sul reato di “frode informatica”: i servizi a contenuto applicati dalle compagnie telefoniche nell’alveo dei cybercrime, in Archivio Penale, 1/2015, 4 ss. (54) In questo senso Cass. pen., sez. II, sentenza 24 ottobre 2018 n. 48553, con nota di Scarcella, Il phishing è punibile come frode informatica, in Quotidiano Giuridico del 13.11.2018 per cui “integra il reato di frode informatica la condotta consistente nell’accesso abusivo a conti correnti on line cui segua il prelievo di somme fatte confluire su carte prepagate appositamente attivate a tal scopo a nome e da persone in condizioni economiche disagiate, materialmente estranee all’accesso abusivo, in cambio di un compenso legato al solo fatto della apertura del rapporto sottostante il rilascio della carta prepagata.”
ter (55) e 615 quater (56) c.p., rispettivamente di accesso abusivo e di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Le predette disposizioni rilevano ai fini del presente lavoro nella misura in cui consentono, in assenza d’interventi riformatori appositi, l’incriminazione, con limiti edittali conformi, delle condotte relative ai mezzi per commettere i reati di frode e falsificazione di cui all’art. 7 della direttiva. La fattispecie contemplata dall’art. 615 quater si pone, in particolare, in rapporto di strumentalità con il delitto di accesso abusivo, di cui “costituisce naturalisticamente un antecedente necessario, sempre che quest’ultimo sia contestato, procedibile ed integrato nel medesimo contesto spazio-temporale in cui fu perpetrato l’antefatto, ed in danno della medesima persona fisica titolare del bene protetto” (57). In virtù di quanto sopra, la giurisprudenza nazionale esclude il concorso tra le due fattispecie, mentre ammette un concorso materiale con il delitto di frode informatica (58). Rispetto alle prescrizioni della direttiva le due previsioni appaiono per certi versi meno restrittive e calibrate su esigenze di tutela ulteriori o connesse a quelle relative al mercato unico digitale ed interessanti direttamente la riservatezza informatica, e, in via mediata, anche la sicurezza informatica (59). Stesso discorso può essere svolto con riferimento al delitto di frode informatica, il quale presenta un ambito ontologico certamente più ampio del confine protettivo delineato della direttiva.
(55) In ordine ai contenuti di questo delitto si rinvia a Flor, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen. proc., 2008, 106 ss.; ID., Sull’accesso abusivo ad un sistema informatico o telematico: il concetto di domicilio informatico e lo jus excludendi alios, in Dir. pen. proc., 2005, 85 ss; Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615 ter c.p., nota a Cass. pen., Sez. un., sent. 27 ottobre 2011 (de7 febbraio 2012), in Riv. trim. dir. pen. ec., 2012, 369 ss. (56) Sulle condotte sanzionate e gli altri elementi costitutivi del delitto in esame si rinvia a Salvadori, Criminalità informatica e tecniche di anticipazione della tutela penale. L’incriminazione dei “dual-use software”, op. cit., 760-762. (57) In questi termini Cass, pen., sez. II, sentenza 20 maggio 2019, n.21987, con nota di Peano, Accesso abusivo a sistema informatico e diffusione di codici di accesso: quale rapporto?, in Quotidiano Giuridico, del 21.06.2019. (58) Così di recente Cass. pen., sez. II, sentenza 12.9.2018 n. 5748 e Cass. pen. sez. II 29.5.2019 n. 26604 reperibili in AA.VV. art. 640 ter, Codice penale commentato, in pluris-cedam.utetgiuridica.it. (59) In questo senso Picotti, Sicurezza, informatica e diritto penale, in Donini-Pavarini (a cura di), Sicurezza e diritto penale, Bologna 2011, 217 ss., ID., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in ID. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, 21 ss.
DIRITTO DI INTERNET N. 3/2020
405
SAGGI Depone in questo senso il rigorismo sanzionatorio che connota l’ipotesi perpetrata con furto o indebito utilizzo dell’identità digitale (60); con la predetta aggravante, che ha destato perplessità e critiche della dottrina (61), il legislatore nazionale esprime sul piano penale quel disvalore che è, invece, considerato a livello sovranazionale (62) solo ai fini della predisposizione di misure di sostegno e protezione per le vittime delle frodi in esame. (63) Più complessa appare, invece, l’incriminazione delle condotte di falsificazione, contraffazione, detenzione-trasferimento degli strumenti di pagamento ottenuti illecitamente o contraffatti. Ai fini del reperimento delle disposizioni nazionali eventualmente applicabili, utile è la distinzione tra gli strumenti di pagamento materiali ed immateriali. Per i primi vengono in rilievo le fattispecie d’indebito utilizzo e falsificazione di carte di credito e di pagamento, nonchè di ricettazione, previste dagli artt. 493 ter e 648 c.p.. Nello specifico, l’art. 648 c.p. incrimina “chiunque, fuori dei casi di concorso, al fine per procurare per sé o per altri un profitto, acquista, riceve od occulta denaro o cose provenienti da un qualsiasi delitto o comunque si intromette nel farle acquistare, ricevere od occultare”. Per la giurisprudenza integra la predetta condotta chi, fuori dei casi di concorso nella realizzazione della falsificazione, riceve con finalità di profitto carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’ac-
(60) Sul punto si rinvia a Flor, Phishing, identity theft e identity abuse, in Riv. It. Dir. e proc. Pen., 2007, 899 ss; Crescioli, La tutela penale dell’identità digitale, in Diritto Penale Contemporaneo, Rivista trimestrale, 5/2018, 265 ss. (61) Si rinvia in proposito a Margiocco, Frode informatica, in Finocchiaro – Delfini (a cura di), Diritto dell’informatica, Assago, 2014, 1107 ss, Malgieri, La nuova fattispecie di “indebito utilizzo d’identità digitale”: un problema interpretativo, in Diritto Penale Contemporaneo, Rivista trimestrale, 2/2015, 149 ss. (62) Sul punto si noti la diversità di scelte d’incriminazione operate con l’ art. 9, paragrafo 5, della direttiva 2013/40, che, invece, ha prescritto che “Gli Stati membri adottano le misure necessarie ad assicurare che, qualora i reati di cui agli articoli 4 e 5 siano commessi abusando dei dati personali di un’altra persona allo scopo di guadagnare la fiducia di terzi, in tal modo arrecando un danno al legittimo proprietario dell’identità, ciò possa, conformemente al diritto nazionale, essere considerato una circostanza aggravante, purché tale circostanza non sia già contemplata da un altro reato punibile a norma del diritto nazionale”. (63) Al Considerando 31, partendo dalla circostanza che “quando tali frodi comportano, ad esempio, il furto d’identità, le conseguenze sono spesso più gravi a causa del danno alla reputazione e del danno professionale, del danno al rating del credito della persona e del grave danno emotivo”, si auspica che Gli Stati membri possano predisporre misure di aiuto, sostegno e protezione per attenuare tali conseguenze.
406
DIRITTO DI INTERNET N. 3/2020
quisto di beni o alla prestazione di servizi proveniente da delitto (64). Nel caso in cui il ricettatore ne faccia, poi, indebito uso risponderà anche ai sensi della prima parte del primo comma dell’art. 493 ter c.p. (65); il concorso di reati sarà, di contro, escluso, con applicazione solo delle fattispecie stabilite da questo articolo, nel caso in cui a fare indebito uso sia il detentore-falsificatore o il concorrente nelle precedenti condotte o laddove, a prescindere dalla terzietà del soggetto che impiega il mezzo di pagamento, esso derivi da contravvenzione o da illecito civile o amministrativo (66). L’art. 493 ter c.p., che riproduce in totale continuità la previsione dell’art. 12 del d.l. n. 143/91, trasfusa poi nel co. 9 dell’art. 55 del d.lgs. 231/07 (67), punisce con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro, chiunque, al fine di trarne profitto, indebitamente utilizza, non essendone titolare, falsifica o altera carte di credito o di pagamento ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazioni di servizi, oppure possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi. Come è stato messo in rilievo dalla Corte costituzionale (68), la predetta disposizione individua una “figura criminosa multiforme, sia in riferimento all’oggetto materialeche investe un’ampia gamma di documenti, diversi tra loro per natura, funzione e modalità d’impiego; sia per quel che concerne la condotta penalmente rilevante, essendo contemplata, accanto all’ipotesi dell’indebita utilizzazione dei documenti, da parte di chi non ne sia titolare, anche quella di falsificazione di questi ultimi e di possesso di documenti di provenienza
(64) In questi termini Cass. pen. sez. II, sentenza 18.11.2019 conforme a Cass. pen., S.U., sentenza 28.3.2001 n. 22902; per la consultazione e disamina critica della pronuncia delle Sezioni Unite si rinvia alla nota di Faiella, Offesa e sanzione del cd. riciclaggio di carte di credito, in Cass. pen., 1/2002, 87 ss.. (65) Si rinvia per l’analisi della predetta modalità di realizzazione del delitto in esame, con particolare riferimento anche ai rapporti con il delitto di frode informatica, a Falduti, Frode informatica e utilizzo indebito di carte di credito: variabili interpretative, in Giurisprudenza Penale web, 2017, 12. (66) Sui rapporti tra queste fattispecie vedi Borsari, nota a Cassazione penale, sez. II, sentenza 13/01/2010, n. 2465, in Riv. Trim. dir. pen. ec., 1-2/2010, 452 ss. (67) Il delitto in esame è stato inserito nel codice penale dall’art. 4 del d.lgs. n. 21/2018, in attuazione della delega contenuta all’art. 1 della l. n. 103/2017 sulla riserva tendenziale d codice nella materia penale. (68) In questi termini Corte Cost. sentenza 302/2000, per un commento sulla ricostruzione del delitto in esame come disposizione a più fattispecie si rinvia a Galante, La tutela penale delle carte di pagamento, in Cadoppi-Canestrari (a cura di), Cybercrime, collana Diritto e procedura penale dell’informatica, Utet, 2019, 285 ss.
SAGGI illecita o comunque falsificati o alterati, nonché di ordini di pagamento con essi prodotti”. Se per la ricettazione la formulazione legislativa sembra rinviare ad una res suscettibile di apprensione, il predetto reato viene, invece, dalla giurisprudenza unanime applicato anche in assenza della detenzione del supporto materiale del mezzo di pagamento. Nello specifico, si considera sanzionabile ai sensi dell’art. 493 ter c.p. la condotta di chi effettui operazioni di pagamento mediante utilizzo del numero e dei codici della carta, senza il materiale possesso della stessa. (69) Un’interpretazione di questo tipo consente, a formulazione invariata della previsione, d’incriminare anche i reati previsti dalla fonte sovranazionale di detenzione abusiva e falsificazione dei mezzi di pagamento immateriali che, in assenza di profili di frode riconducibili ai reati di cui all’art. 640 e 640 ter c.p., sarebbero prive di risposte nazionali. In ordine all’incriminazione delle condotte descritte dalla direttiva rileva, inoltre, il delitto d’installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche, di cui all’art. 617 quinques c.p. (70). Il predetto reato di pericolo, consistente nell’istallazione di strumenti per la captazione illecita di comunicazioni contenenti ad es. credenziali di accesso personali, si pone in termini strumentali rispetto alla clonazione cui è finalizzata e che, ove realizzata, è ritenuta punibile in progressione criminosa ai sensi dell’art. 493 ter (71).
5. La repressione e prevenzione degli abusi della valute virtuali
L’armamentario punitivo e sanzionatorio italiano appare conforme alle prescrizioni sovranazionali poste a tutela dell’uso legittimo delle valute virtuali, risultando per certi versi più completo o più conforme ad una fenomenologia di base in continua evoluzione. Pari completezza si registra in ordine alla repressione degli abusi delle valute virtuali.
(69) Cass. pen., sez. II, sent. 9.9.2015 n. 48044, conforme a Cass. pen. sez. II, sentenza 12.12.18 con nota di Scarcella, L’uso dei codici di una carta di credito, senza possesso della stessa, non è frode informatica, in Quotidiano Giuridico del 16.1.2019. (70) Sulla genesi di questa fattispecie e la sua riformulazione in virtù della legge di ratifica della Convenzione Cybercrime del Consiglio d’Europa cfr. Picotti, Profili di diritto penale sostanziale, in Dir. pen. proc., 6/2008, 700 ss. (71) In questo senso Cass. pen. sentenza 11 marzo 2019 n. 15665 consultabile alla banca dati pluris-cedam.utetgiuridica.it.
Con la recente Comunicazione del 28 maggio 2019, la UIF, l’unità nazionale d’informazione finanziaria (72), è ritornata a richiamare l’attenzione sull’utilizzo delle valute virtuali per scopi illeciti (73), sottolineando non solo l’«esposizione significativa delle “monete virtuali” ai rischi di riciclaggio e finanziamento del terrorismo”, ma anche la “possibile connessione con fenomeni criminali caratterizzati dall’utilizzo di tecnologie informatiche quali phishing o ransomware , con truffe realizzate attraverso siti Internet o clonazione di carte di credito, ovvero al sospetto di reimpiego di fondi derivanti da attività commerciali non dichiarate, spesso svolte online. Rilevano, altresì, gli acquisti di Virtual asset con fondi che potrebbero derivare da frodi, distrazioni di fondi o schemi piramidali. Occorre prestare attenzione ai casi in cui l’utilizzo di Virtual asset in operazioni speculative, immobiliari o societarie appaia finalizzato ad accrescerne l’opacità e, in generale, ai casi in cui l’operatività appaia illogica o incoerente rispetto al profilo del cliente o alla natura e allo scopo del rapporto» (74). Come risulta dal Rapporto annuale dell’UIF per l’anno 2018 (75), in realtà il rischio d’impiego delle valute virtuali per finanziamento del terrorismo è più ipotetico che reale (76), essendo statisticamente preminente anco (72) Si tratta dell’Unità centrale nazionale di prevenzione del riciclaggio e del finanziamento del terrorismo, che svolge funzioni di raccordo, comunicazione e analisi dei flussi finanziarie ed è destinataria delle segnalazioni relative ad operazioni sospette. (73) Si era in precedenza espressa sul tema con la comunicazione del 30 gennaio 2015, reperibile all’indirizzo <www.uif.bancaditalia.it>, richiedendo che i destinatari del d.lgs. 231/2007 rilevassero con tempestività gli eventuali elementi di sospetto relativi ad operazioni di prelevamento e/o versamento di contante e movimentazioni di carte di pagamento, connesse con operazioni di acquisto e/o vendita di valute virtuali, realizzate in un arco temporale circoscritto, per importi complessivi rilevanti. (74) In questa senso la predetta Comunicazione del 28 maggio 2019 reperibile al seguente indirizzo <https://uif.bancaditalia.it/normativa/ norm-indicatori-anomalia/Comunicazione_VV_2019.pdf>. Con questa nota l’UIF richiama l’attenzione degli operatori sulle “ipotesi di costituzione anomala della provvista impiegata in acquisti di Virtual asset e, in particolare, le figure di collettori che operano una raccolta di fondi da una pluralità di soggetti, mediante: ricariche, anche frazionate, di carte prepagate eseguite in contanti od online, anche da diverse zone del territorio nazionale; accrediti di bonifici, anche esteri; ripetuti versamenti di contanti, singolarmente di importo non significativo, ma complessivamente di ammontare rilevante. È necessario valutare se l’attività di raccolta possa essere messa in relazione con fondi di provenienza illecita”. (75) Si tratta del Rapporto Annuale con cui la UIF rende conto dell’attività svolta, trasmettendolo, entro il 30 maggio di ogni anno, al Ministro dell’economia e delle finanze, per il tramite del Comitato di Sicurezza Finanziaria, e viene anche allegato alla relazione presentata al Parlamento sullo stato dell’azione di prevenzione del riciclaggio e di finanziamento del terrorismo, unitamente a una relazione della Banca d’Italia in merito ai mezzi finanziari e alle risorse attribuite all’Unità stessa. Il Rapporto annuale per il 2018 di maggio 2019 è consultabile al seguente link <https:// uif.bancaditalia.it/pubblicazioni/rapporto-annuale/2019/Rapporto-UIF-anno-2018.pdf>. (76) Dal Rapporto annuale, cit., 54, risulta che le operazioni più frequentemente segnalate per sospetto finanziamento del terrorismo “sono prelievi e versamenti di contante (34,3%) e invii e incassi di rimesse di denaro
DIRITTO DI INTERNET N. 3/2020
407
SAGGI ra il ricorso al denaro contante o a trasferimenti di fondi tramite circuiti di money transfer o sistemi Hawala (77). A conclusioni diversi deve, invece, giungersi in ordine alla connessione con il riciclaggio: l’analisi dei flussi di segnalazioni ha evidenziato “un’operatività finanziaria apparentemente connessa all’acquisto di bitcoin da parte di soggetti indagati per i reati di traffico di stupefacenti, riciclaggio e auto-riciclaggio. L’operatività sui conti loro intestati si caratterizza da un lato per i frequenti e rilevanti versamenti e prelevamenti di contante non giustificati dalle attività da loro svolte e, dall’altro, per i numerosi bonifici da e verso società estere specializzate nella compravendita di criptovalute e conti correnti di cui sono titolari persone residenti all’estero coinvolte negli stessi procedimenti penali” (78). Le valute virtuali, per le caratteristiche che le connotano in termini di pseudo anonimato, sono idonee ad ostacolare l’identificazione della provenienza delittuosa su cui si fonda la repressione delle fattispecie nazionali di riciclaggio e autoriciclaggio (79). Le valute virtuali si prestano, in particolare, ad essere impiegati in operazioni di cyberlaundering (80), quale ma-
nifestazione in funzione integrativa-evolutiva delle tecniche di lavaggio nel cyberspace. È, infatti, possibile individuare due tipologie di riciclaggio on line (81): il riciclaggio digitale strumentale e il riciclaggio digitale integrale. Nella prima categoria, Internet rileva essenzialmente quale strumento di comunicazione, che garantisce l’aggiornamento e la semplificazione delle tecniche tradizionali di riciclaggio, mentre nella seconda si configura come ambiente criminale autonomo, in cui realizzare scambi economici (82). Come messo in rilievo da autorevole dottrina (83), le fattispecie nazionali di riciclaggio (84) ed autoriciclaggio (85), previste agli artt. 648 bis e 648 ter.1 c.p., sono
tramite circuiti di money transfer (26,2%); le restanti operazioni sono costituite in netta prevalenza da bonifici (19,4%, di cui il 3,5% bonifici esteri) e da utilizzi di carte e moneta elettronica (15,9%)”.
(82) Così Scartezzini, Il rischio di riciclaggio in Internet: alcune ipotesi di regolazione, in Picotti (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, 434.
(77) Traslitterazione anglosassone di una parola urdu che significa fiducia, si riferisce ad un complesso sistema di trasferimento di crediti e cambia valuta basato, appunto, sulla fiducia personale tra banchiere e cliente. Sui fattori che hanno contribuito alla diffusione delle banche clandestine v. Zanchetti, Il riciclaggio di denaro proveniente da reato, Milano, 1997, 31 ss. Il Rapporto annuale, cit., 58, evidenzia come “se in astratto la hawala, qualora gestita interamente in contanti, potrebbe non intercettare mai il sistema finanziario ufficiale e quindi non essere rilevata dagli intermediari segnalanti, in concreto essa può lasciare tracce sia nella fase di raccolta (ad esempio i menzionati flussi transitanti su carte di pagamento o sul canale dei money transfer) sia in quella di compensazione periodica (trasferimenti verso l’estero di importo non minimale a favore di soggetti ricorrenti, identificabili con gli omologhi hawaladar corrispondenti nei paesi esteri). In tale schema, inoltre, l’hawaladar che effettui anticipazioni dovrà, di necessità, disporre di un patrimonio personale adeguato; infine l’eventuale svolgimento di un’attività commerciale con l’estero risulta funzionale a dissimulare le reali motivazioni delle compensazioni periodiche”.
(83) Picotti, Profili penali del cyberlaundering: le nuove tecniche di riciclaggio, cit., 608-609 per cui le predette fattispecie, che possono essere considerati reati informatici in senso lato, risultano già formulate con espressioni tali da includete anche le attività riconducibili al cyberlaundering.
(78) In questi termini il Rapporto annuale, cit., 47-48, che riferisce anche di meccanismi d frode informatica connessi con la conversione in valute virtuali degli accrediti indebitamente ottenuti, nonché dell’acquisto di virtual asset con provvista derivante da fenomeni di false fatturazioni/ frodi fiscali. (79) In questo senso diffusamente Sturzo, Bitcoin e riciclaggio 2.0, in Diritto Penale Contemporaneo, Rivista trimestrale, 5/2018, 21-23. Nel panorama dottrinale si diversifica la posizione di Sicignano, Bitcoin e riciclaggio, cit., 137, che ricollega l’effetto ostativo solo alle condotte di acquisto di bitcoin con denaro illecito, mediante operazioni digitalizzati. (80) Questo fenomeno è stato definito “a process of utilizing internet-based electronic wire transfer methods, susch as internet banking or online gambling, in furtherance of disguising source of illegally obtained money” , così HUNT, The new frontier of Money Laundering: how terrorist organizations use cyberlaundering to fund their activities, and how governments are trying to stop them, University of Florida Levin College of Law, maggio 2011. Picotti, Profili penali del cyberlaundering: le nuove tecniche di riciclaggio, cit., 591 discorre di “fenomeno complesso che comprende l’insieme di tutte le attività illecite finalizza-
408
DIRITTO DI INTERNET N. 3/2020
te a ripulire (letteralmente: lavare) non solo il denaro (moneylaundering), ma più in generale i capitali, i beni, i valori o le altre utilità di provenienza delittuosa, ricorrendo a sistemi o mezzi elettronici o, meglio, “cibernetici”, resi possibili dalle TIC, che coinvolgono oggi soprattutto la rete”. (81) Sono usate anche espressioni come e-laundering o information technology laundering; questa varietà terminologica è considerata in dottrina indice dell’assenza di una nozione comune e condivisa del fenomeno, in questo senso v. Mulinari, Cyberlaundering, Riciclaggio di capitali, finanziamento del terrorismo e crimine organizzato nell’era digitale, Pearson, 2003, 32.
(84) Per la disamina degli elementi costitutivi di questa fattispecie si rinvia a Castaldo-Naddeo, Il denaro sporco, prevenzione e repressione nella lotta al riciclaggio, Padova, 2010; Maione, la fattispecie codicistica d’impiego di denaro, beni o altra utilità di provenienza illecita, in Bernasconi-Giunta (a cura di), Riciclaggio e obblighi dei professionisti, Milano, 2011; Cano, Problemi evolutivi e nuove prospettive in tema di riciclaggio di denaro, beni o altre utilità, in Cass. pen., 6/2014,2324 ss; Dall’Osso, Riciclaggio di proventi illeciti e sistema penale, Torino, 2017; Vadalà, La provenienza illecita nel delitto di riciclaggio: possibili novità dalla quarta direttiva antiriciclaggio, in Riv. Trim. dir. Pen. Econ., 1-2/2017, 234 ss. (85) Per la disamina degli elementi costitutivi di questa fattispecie si rinvia a Mucciarelli, Qualche nota sul delitto di autoriciclaggio, in <www. penalecontemporaneo.it>, 24 dicembre 2014; Sgubbi, Il nuovo delitto di “autoriciclaggio”: una fonte inesauribile di “effetti perversi” dell’azione legislativa, in Diritto Penale Contemporaneo, Rivista trimestrale 1/2015, 140 ss; Cavallini-Troyer, Apocalittici o integrati? Il nuovo reato di autoriciclaggio: ragionevoli sentieri ermeneutici all’ombra del “vicino ingombrante”, in Diritto Penale Contemporaneo, Rivista trimestrale 1/2015, 95 ss, D’Aviro-Giglioli, Autoriciclaggio e reati tributari, in Diritto penale e processo, 2/2015, 135 ss. ; Acquaroli, L’Autoriciclaggio, in Viganò-Pergallini, Reati contro la persona e contro il patrimonio, Torino, 2016 ; Perilongo, Movimentazione di “denaro sporco” e autoriciclaggio: una prima indicazione giurisprudenziale, nota a Cass. pen. Sez. II, 14/07/2016, n. 33074, in Giur. It., 1/2017, 187 ss; Basile, Autoriciclaggio, “mera utilizzazione” e “godimento personale”: soluzione di un enigma solo apparente, in Giur.It., 12/2018, 2741 ss; Ungaretti Dell’Immagine, I confini tra i reati di riciclaggio ed autoriciclaggio. Brevi note alla sentenza n. 17235 Cass. Pen. sez. II 17.01.2018, in Giurisprudenza Penale Web, 7-8/2018; Vadalà, L’Autoriciclaggio e la soluzione italiana nella recente riforma, in Riv. Trim. dir. Pen. Econ., 3/2015, 711 ss; Calaruotolo, Autoriciclaggio: la soluzione della Cassazione sulla causa di non punibilità, consultabile all’indirizzo <www.quotidianogiuridico.it>, sez. penale, del 20.08.2018.
SAGGI formulate, sia con riferimento alla condotta sia in ordine all’oggetto, in modo tale da includere impieghi nel mercato ed in strumenti digitali, comprese le valute virtuali. In conseguenza della segnalata inclusività, de iure condendo non appare praticabile un intervento integrativo o correttivo dell’attuale assetto repressivo, mediante la previsione di un’ipotesi autonoma di reato di riciclaggio digitale. Altrettanto inopportuna appare la previsione espressa di specifiche modalità virtuali di lavaggio, la quale potrebbe essere fonte di un possibile irrigidimento normativo, che va evitato in considerazione della perenne capacità evolutiva e innovativa che caratterizza la movimentazione della ricchezza illecita. Si potrebbe, al più, valorizzare in termini circostanziali, comuni ai delitti di riciclaggio, ed autoriciclaggio, l’utilizzo di mezzi informatici digitali o la natura virtuale dell’utilità movimentata. In realtà, anche questa soluzione appare poco praticabile, se si considera che i livelli sanzionatori nazionali sono già elevati rispetto alle prescrizioni di cui alla direttiva UE 2018/1673 sulla lotta al riciclaggio mediante il diritto penale (86). La predetta direttiva al Considerando 6 dà atto che “L’uso delle valute virtuali presenta nuovi rischi e sfide nella prospettiva della lotta al riciclaggio. Gli Stati membri dovrebbero garantire che tali rischi siano affrontati in modo adeguato”, ma nell’articolato non fa minimamente riferimento né all’impiego di valute virtuali né alla realizzazione delle condotte di riciclaggio per mezzo di tecnologie informatiche (87). Un’assenza di questo tipo può essere compresa valutando che il legislatore europeo intende “contrastare il riciclaggio mediante il diritto penale, consentendo una cooperazione transfrontaliera fra le autorità competenti più efficiente e più rapida” al fine esplicito d’integrare e rafforzare il sistema di prevenzione (88).
Si tratta di una vera e propria rivoluzione copernicana, se dagli anni ’90 ad oggi era il sistema di prevenzione a dover colmare le inefficienze dello strumentario penale nella lotta al riciclaggio (89), nella prospettiva in esame il rapporto è invertito; in quanto la repressione del riciclaggio diventa strumento per tutelare l’integrità, la stabilità e la reputazione del settore finanziario, il mercato interno e la sicurezza interna dell’Unione. A conferma della ratio che muove la politica sovranazionale, si segnala che le misure più incisive in ordine al binomio riciclaggio-valute virtuali si registrano proprio sul piano della disciplina di prevenzione. Nello specifico, la V direttiva antiriciclaggio UE 2018/843 (90) prevede una definizione espressa di valuta virtuale (91) ed assoggetta agli obblighi antiriciclaggio (92) sia i prestatori di servizi di cambio tra valute virtuali e valute aventi corso forzoso, sia i prestatori di servizi di portafoglio digitale. È altresì contemplata la possibilità per le unità nazionali di informazione finanziaria di “ottenere informazioni che consentano loro di associare gli indirizzi della valuta virtuale all’identità del proprietario di tale valuta. Occorre inoltre esaminare ulteriormente la possibilità di consentire agli utenti
penale, consentendo una cooperazione transfrontaliera fra le autorità competenti più efficiente e più rapida”. (89) In questi termini Pecorella, Circolazione del denaro e riciclaggio, in Riv. it. dir. proc. pen., 91, 1223, per cui essendo l’intervento penale fisiologicamente destinato alla repressione di comportamenti di riciclaggio o reimpiego già attuati, lo stesso è capace, solo di riflesso e incidentalmente, di raggiungere quei risultati a cui dovrebbero essere destinati direttamente controlli di tipo diverso, da esercitare in via preventiva. “L’intervento penale va”, pertanto, “inteso per quello che è: uno tra i tanti, degli strumenti idonei ad evitare, peraltro in via indiretta ed eventuale, la formazione prima e l’utilizzazione poi di ricchezze provenienti da reato; la sua incidenza sulla realtà può essere talora spiccata ma sempre limitata, e in generale non può essere risolutiva se non in una situazione di forte funzionalità degli altri strumenti di controllo e di sottile equilibrio tra questi e quelli, così testualmente Colombo, Il riciclaggio. Gli strumenti giudiziari di controllo sui flussi monetari illeciti con le modifiche introdotte dalla nuova legge antimafia, Milano, 1990, 3.
(86) L’art. 5 della direttiva richiede una pena detentiva massima non inferiore a quattro anni, mentre l’art. 648 bis e l’art. 648 ter.1 c.p. prevedono rispettivamente la reclusione da quattro a dodici anni e da due a otto anni.
(90) Si rinvia per l’esame dei punti principali della direttiva e del recepimento fattone dal nostro legislatore a Manieri, Quinta direttiva europea antiriciclaggio: il decreto di recepimento 125/2019 entra in vigore, nella sezione approfondimenti di <www.dirittobancario.it> del 5.11.2019.
(87) Picotti, op. cit., 616, mette in evidenza come la direttiva includa nella nozione di “attività criminosa” da cui derivano i proventi da riciclare, “la criminalità informatica, compreso qualsiasi reato di cui alla direttiva 2013/40/UE”.
(91) All’art. 1 punto 2) lett. d. si definisce valuta virtuale: “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”.
(88) Il considerando 1 prevede che “Il riciclaggio e il finanziamento del terrorismo e la criminalità organizzata ad esso legati restano problemi significativi a livello di Unione, il che danneggia l’integrità, la stabilità e la reputazione del settore finanziario e costituisce una minaccia per il mercato interno e la sicurezza interna dell’Unione. Al fine di affrontare tali problemi e integrare e rafforzare l’applicazione della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, la presente direttiva mira a contrastare il riciclaggio mediante il diritto
(92) Si tratta degli obblighi di adeguata verifica, conservazione e segnalazione di operazioni sospette, per l’analisi in sintesi di questi obblighi e degli altri contenuti del d.lgs. 231/07, come aggiornati dopo le recenti modifiche, si rimanda a Lucariello-Schettino, Antiriciclaggio, in ilPenalista del 9.01.2020, in <www.dejure.it>.
DIRITTO DI INTERNET N. 3/2020
409
SAGGI di presentare, su base volontaria, un’autodichiarazione alle autorità designate” (93). Il legislatore italiano ha attuato la V direttiva antiriciclaggio con il d.lgs. 125/2019 del 4 ottobre 2019, con cui ha: a) ampliato la definizione di valuta virtuale, includendo anche la finalità di finanziamento, oltre che di scambio, che può connotare alcune valute e alcuni loro impieghi; b) inserito nell’attività di cambiavalute i servizi di conversione “in altre valute virtuali nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (94); c) incluso, sempre nella categoria degli “altri operatori non finanziari”, anche i prestatori di servizi di portafoglio digitale, i c.d. “wallet provider” e cioè “ogni persona fisica o giuridica che fornisce, a terzi, a titolo professionale, anche on line, servizi di salvaguardia di chiavi crittografiche private per contro dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (95) Con le citate modifiche viene colmato il vulnus di tutela che aveva contraddistinto il d.lgs. n. 90/2017 (96), di attuazione della IV direttiva antiriciclaggio, ed esteso anche ai “wallet provider” l’obbligo di registrazione nell’apposita sezione speciale del registro dei cambia valute presso l’Organismo degli agenti e mediatori (97). Dalla predetta estensione soggettiva conseguono ripercussioni anche sul versante repressivo, potendo le due categorie di prestatori di valute virtuali rispondere dei reati previsti dall’art. 55 del d.lgs. 231/07 e consistenti nell’utilizzo, acquisizione e formazione, ai fini dell’a-
(93) Testualmente Considerando 9 della V direttiva antiriciclaggio. (94) Testualmente art. 1, comma 2, lett. ff del d.lgs. 231/07. (95) Così art. 1 comma 2, lett. ff bis del d.lgs. 231/07. (96) Sul punto Naddeo, Nuove frontiere del risparmio, Bit Coin Exxhange e rischio penale, in Diritto penale e processo, 1/2019, 10, per cui il mancato coinvolgimento dei wallet provider sottrae al monitoraggio le operazioni di riciclaggio aventi ad oggetto valute virtuali provenienti da reati presupposti on line integrated. (97) Con il d.lgs. 90/17 è stato modificato l’art. 17 bis del d.lgs. 141/2010 mediante l’introduzione dei commi 8 bis e 8 ter, che prevedono la predetta iscrizione nel registro dei cambia valuta e attribuiscono al Ministero dell’Economia e delle Finanze il compito di stabilire modalità e tempistiche con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale saranno tenuti a comunicare la loro operatività sul territorio nazionale. In proposito, si evidenzia che è stato oggetto di consultazione pubblica, conclusasi il 18 febbraio 2018, lo schema del decreto ministeriale, avente ad oggetto le predette modalità e tempistica, il quale include nell’ambito di sua applicazione anche gli operatori commerciali che accettano valuta virtuale quale corrispettivo di qualsivoglia prestazione avente ad oggetto beni, servizi o altre utilità. In attesa che il predetto schema sia adottato, dall’istituzione dell’obbligo d’iscrizione deriva che le società di exchange che operino senza iscrizione potranno essere sanzionate a livello amministrativo per abusivismo dal Ministero dell’economia e delle finanze, così Lucev-Boncompagni, Criptovalute e profili di rischio penale nelle attività degli exchanger, in Giurisprudenza Penale Web, 3/2018, 1.
410
DIRITTO DI INTERNET N. 3/2020
dempimento degli obblighi di adeguata verifica e di conservazione, di dati ed informazioni falsi relativi al titolare dell’operazione o al suo contenuto (98). L’inserimento, nella cerchia dei destinatari della disciplina antiriciclaggio, genera poi forme di coinvolgimento in operazioni sia di “ripulitura” che di finanziamento del terrorismo, oltre lo schema tradizionale del concorso (99), consentendo la configurabilità di una responsabilità penale per omesso consapevole impedimento di questi reati derivante dalla mancata esecuzione dei presidi preventivi (100). I predetti esiti vanno applicati coerentemente ai principi cardine del diritto penale, nel senso che la repressione degli abusi delle valute virtuali, a maggior ragione se riferiti o agevolati dalle nuove figure professionali, richiede la consapevolezza, ancorata su circostanze concrete, della provenienza delittuosa dell’oggetto della transazione. In questo senso depone la stessa direttiva 2018/1673, la quale però contempla la possibilità di punire per riciclaggio “se l’autore sospettava o avrebbe dovuto essere a conoscenza che i beni provenivano da un’attività criminosa” (101). In prospettiva de iure condendo, pertanto, il rischio di un intervento repressivo a carattere formale-punitivo si giocherà sulla traduzione nazionale di questi contenuti, i quali, a prescindere dalla qualifica del soggetto agente e del controllo preventivo delegato, andranno ancorati a indici verificabili, sussistenti e noti ex ante, al momento dell’operazione.
(98) In questo senso Ingrao, Gli strumenti di prevenzione nazionali ed europei in materia di valute virtuali e riciclaggio, in Diritto Penale Contemporaneo, Rivista trimestrale, 2/2019, 153-154, Naddeo, Nuove frontiere del risparmio, Bit Coin Exxhange e rischio penale, cit., 104, che discorre di un climax crescente, di sistema sanzionatorio composito che va dalle violazioni degli obblighi antiriciclaggio alle ipotesi di abusivismo bancario e finanziario fino al riciclaggio e alle forme di concorso dei reati comuni realizzati dagli hackers. Sul contenuto dei reati previsti dall’art. 55 del d.lgs. 231/07 si rinvia a Amodio, Prevenzione del riciclaggio e obblighi di collaborazione dei professionisti, in Diritto penale e processo, 8-2008, 1056 ss, Raponi, I soggetti destinatari di specifici obblighi antiriciclaggio e i relativi illeciti, in Bernasconi, Giunta (a cura di), Riciclaggio e obblighi dei professionisti, Milano, 2011, 61 ss.; Gentile, La disciplina sanzionatoria della normativa antiriciclaggio, in Maiello (a cura di), La legislazione in materia di criminalità organizzata, misure di prevenzione ed armi, Torino, 2015, 30 ss; Gambogi, La disciplina sanzionatoria della nuova normativa antiriciclaggio di cui al d.lgs. 25 maggio 2017 n. 90, in Maiello-Della Ragione ( a cura di), Riciclaggio e reati nella gestione dei flussi di denaro sporco, Milano, 2018, 524 ss; Vadalà, Il sistema sanzionatorio antiriciclaggio: tra vecchio e nuovo, in Rivista di Giurisprudenza ed Economia D’Azienda, 1-2018, 73 ss. (99) Pomes, Le valute virtuali e gli ontologici rischi di riciclaggio: tecniche di repressione, in Diritto Penale Contemporaneo, Rivista trimestrale, 2/2019, 170-172. (100) Sturzo, Bitcoin e riciclaggio 2.0, cit., 28-29. (101) In questi termini art. 3 paragrafo 2 della direttiva 1673.
SAGGI 6. Conclusioni
Ad eccezione delle condotte di falsificazione/alterazione, per cui potrebbe essere utile, per le caratteristiche specifiche e nuove dei mezzi di scambio digitali, la previsione di una disciplina nazionale apposita, le altre fattispecie italiane esaminate risultano per certi versi più comprensive di quelle sovranazionali, perché astrattamente applicabili e pensate per una fenomenologia criminale più ampia e complessa, che può riguardare, ma non solo, gli strumenti di pagamento diversi dai contanti (102). Il recepimento della direttiva può essere, però, l’occasione per una sistemazione organica di questi reati informatici intorno a quello che sembra delinearsi come comune bene giuridico finale ovvero l’“oggetto di tutela categoriale: l’affidabilità e la sicurezza del ricorso alla tecnologia informatica, telematica e cibernetica” (103). Il predetto sostrato assiologico è alla base della direttiva UE 2019/713, la quale “attraverso la punizione di condotte che possono essere realizzate o “manifestarsi” in ambito digitale o nel contesto tecnologico – se non esclusivamente in simili contesti – intende rafforzare il sistema di protezione previsto dalla direttiva relativa agli attacchi contro i sistemi di informazione” (104). La centralità ai fini economici dei predetti sistemi ed in particolare del cyberspace impone di presidiare, eventualmente con risposte penali, il fisiologico sviluppo delle transazioni economiche che avvengono loro tramite in
(102) In proposito Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, in specie 56-57; Id., Internet e diritto penale: il quadro attuale alla luce dell’armonizzazione internazionale, in Dir. Internet, 2005, 2, 189 e ss., il quale rileva criticamente come la legge 23 dicembre 1993, n. 547 abbia modificato il codice penale con norme inserite nei diversi titoli e seguendo criteri che rendessero i reati informatici il più possibile assimilabili al tessuto preesistente anche sul piano dei beni giuridici tutelati, mediante l’introduzione di nuove modalità di lesione o di diversi oggetti passivi. (103) In questi termini Fulvi, La Convenzione Cybercrime e l’unificazione del diritto penale dell’informatica, in Diritto penale e processo 5/2009, 642-643. Per l’Autore l’individuazione di un comune oggetto di tutela alla base del diritto penale dell’informatica consente nella prospettiva di una unificazione di concepire i singoli beni individuali offesi (ad es. patrimonio, riservatezza, proprietà intellettuale) “come marcatori di zona, per graduare la gravità delle fattispecie”. (104) Testualmente Flor, Cibersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in questa Rivista, 460. L’autore evidenzia come la direttiva in esame, nel “promuovere un ambiente sicuro, affidabile e più resiliente per i mezzi di scambio digitali” richiama espressamente la Direttiva 2016/1148/UE, “in quanto le attività criminali aventi ad oggetto gli strumenti di pagamento elettronici e virtuali possono essere all’origine di incidenti che dovrebbero essere segnalati alle autorità nazionali competenti”.
un tale ambiente globale e quindi la loro integrità e sicurezza (105). La pervasività della rete eleva la sicurezza informatica o, meglio, cibernetica ad “interesse primario e per certi aspetti totalizzante, non solo della persona, ma anche o prima di tutto della collettività” (106). Rispetto al predetto bene giuridico, le fattispecie della direttiva in esame appaiono formulate in maniera conforme, richiedendo, a presidio dell’affidabilità degli strumenti del mercato digitale, l’illiceità dell’ottenimento dello strumento o il carattere falsificato di questo o ancora l’operare “intenzionalmente” e “senza diritto” (107) con destinazione all’utilizzazione fraudolenta. Distonica rispetto alla logica sopra segnalata risulta, invece, la previsione nella fattispecie di “frode connessa ai sistemi di informazione” della “perdita patrimoniale allo scopo di procurare un ingiusto profitto all’autore del reato o a una terza parte” (108). La segnalata difformità è in realtà parziale, in quanto nella previsione sovranazionale l’ingiusto profitto rileva sul piano soggettivo, della proiezione finalistica. In proposito, il recepimento della direttiva potrebbe essere l’occasione per una revisione della nostra fattispecie di frode informatica, contemplata all’art. 640 ter c.p., che configura, di contro, l’ingiusto profitto in termini di evento consumativo, oltre al danno altrui. Per quanto riguarda gli abusi delle valute virtuali, il ricorso allo strumento penale a tutela dell’integrità e sta (105) Cfr. per l’emersione, in conseguenza dell’applicazione dell’informatica ai rapporti economici e sociali, del bene giuridico dell’“integrità e sicurezza informatica”, quale nuovo interesse meritevole di tutela penale, Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, cit., 70; ID., Cybersecurity: quid novi?, in questa Rivista, 2020, 11, che rileva come dagli anni Ottanta, “parallelamente all’informatizzazione di settori sempre più importanti dell’economia e della pubblica amministrazione”, la tutela della sicurezza informatica fosse vista “come strumentale alla tutela di altri beni giuridici “finali”, sia della persona, sia della collettività”. (106) Testualmente Picotti, Cybersecurity, cit., 12. L’Autore rileva, espressamente, a p. 13 come “oggi la “sicurezza cibernetica” (cybersecurity) ha assunto un’importanza ed una dimensione ancor più ampie e pervasive, che si manifestano in un approccio anche giuridico radicalmente diverso. Si deve infatti muovere dal riconoscimento che dalle reti e dai sistemi informatici dipendono ormai funzioni e servizi essenziali, per la società, l’economia, i diritti e gli interessi pubblici e privati. L’approccio è quindi quello di assicurare, a livello generale, un elevato grado di sicurezza delle reti e dei sistemi in quanto tali, avendo essi stessi acquisito il rango di autonomi “beni giuridici””. (107) Sulle implicazioni di diritto penale sostanziale derivanti dalla previsione in tutte le fattispecie considerate dalla Convenzione Cybercrime, promossa dal Consiglio d’Europa ed approvata a Budapest il 23 novembre 2001, della commissione, sul piano oggettivo, “senza diritto” e su quello soggettivo “intenzionalmente” v. Picotti, Internet e diritto penale: il quadro attuale alla luce dell’armonizzazione internazionale, cit., 197-198. (108) Sulla differente formulazione prevista all’art. 8 della Convenzione Cybercrime, che prevede per la frode informatica solo la causazione intenzionale di un danno patrimoniale ad altri, v. Picotti, cit., 201, per cui il predetto danno deve anche essere oggetto del dolo dell’agente.
DIRITTO DI INTERNET N. 3/2020
411
SAGGI bilità del sistema economico finanziario, anche digitale, appare conforme all’interesse primario perseguito della sicurezza cibernetica. Le misure penali repressive si accompagnano e presidiano il coinvolgimento diretto, in chiave di prevenzione, delle figure professionali del mercato digitale delle valute virtuali, a garanzia della sua sicurezza e affidabilità. Come sopra segnalato, il rispetto dei principi cardini del diritto penale deve però limitare il ricorso alla sanzione penale ad ipotesi di difformità dagli obblighi di prevenzione che siano effettivamente pregiudizievoli rispetto alle finalità di tutela, vecchie e nuove, emergenti nel cyberspace.
412
DIRITTO DI INTERNET N. 3/2020
SAGGI
La nuova disciplina dell’uso trasversale delle intercettazioni: un nodo arduo da sciogliere di Jacopo Della Torre Sommario: 1. Premessa: il complesso quadro esegetico pre-riforma. - 2. Dal d.l. 30 dicembre 2019, n. 161 alla l. 28 febbraio 2020, n. 7: cenni sui lavori preparatori. - 3. Le modifiche all’art. 270, comma 1, c.p.p. - 4. Il nuovo comma 1-bis in tema di captatore informatico. - 5. L’art. 270, comma 2, c.p.p.: un criticabile ritorno al passato. Il presente contributo ha l’obiettivo di fornire una prima lettura ragionata del novellato art. 270 c.p.p., ossia una delle previsioni più controverse dell’intera “riforma Bonafede” delle intercettazioni. A causa di una tecnica normativa affetta da un’approssimazione davvero preoccupante, la nuova regola solleva plurime criticità esegetiche, che richiederanno intensi sforzi da parte della giurisprudenza per essere risolte. Sicché, si può ben dire che non c’è pace per l’art. 270 c.p.p. e, di riflesso, per i principi supremi di cui esso costituisce immediata attuazione. The aim of this paper is to provide a first insight into the amended version of Article 270 of the Italian Code of Criminal Procedure, which represents one of the most complex provisions introduced by the so-called ‘Bonafede Reform’ concerning the interception of communications. The new provision raises several exegetical issues, whose solution will put a huge strain on the judicial system.
1. Premessa: il complesso quadro esegetico pre-riforma
Da quando è stata disciplinata per la prima volta nel nostro ordinamento negli anni Settanta, la questione dei limiti al trasferimento delle intercettazioni in procedimenti diversi da quello in cui le stesse sono state disposte non ha mai smesso di far discutere. È noto, del resto, che, già nel periodo di vigenza del codice Rocco, tale tematica non è stata solo al centro di repentini mutamenti normativi (1), ma ha anche prodotto un significativo contenzioso giurisprudenziale, sintomo di una perdurante instabilità esegetica (2).
(1) È d’uopo ricordare che tale argomento è stato regolato soltanto dalla l. 8 aprile 1974, n. 98, la quale – subendo l’influenza di Corte cost., 6 aprile 1973, n. 34, all’indirizzo <www.cortecostituzionale.it> – ha introdotto nel codice Rocco l’art. 226-quater c.p.p. Nella versione originaria, siffatta disposizione conteneva un divieto assoluto di utilizzare quali prove in procedimenti diversi le captazioni ottenute aliunde. Una disciplina così rigida è, peraltro, andata incontro ad accese critiche, di talché il legislatore con il d.l. 21 marzo 1978, n. 59, convertito nella l. 18 maggio 1978, n. 191 restrinse significativamente la portata di tale limite probatorio, stabilendo la possibilità di avvalersi delle notizie contenute in intercettazioni raccolte in un altro procedimento, laddove si riferissero «a reati per i quali il mandato di cattura è obbligatorio anche per taluno soltanto degli imputati». Per una compiuta analisi sul punto, cfr., per tutti, Grevi, La nuova disciplina delle intercettazioni telefoniche, II ed., Milano, 1982, 60 ss. e Illuminati, La disciplina processuale delle intercettazioni, Milano, 1983, 163 ss. (2) In proposito, v., di recente, Alvino, Bene captum, male retentum: riflessioni in merito all’art. 270 c.p.p., in materia di circolazione endoprocedimentale delle intercettazioni, e a margine delle sezioni unite Cavallo, in Magistratura indipendente, 18 gennaio 2020, all’indirizzo <https:// www.magistraturaindipendente.it/bene-captum-male-retentum-riflessioni-in-merito-allart-270-cpp-in-materia-di-circolazione.html>, nonché De
Il quadro non è migliorato neppure con l’adozione del codice Vassalli. Nonostante i problemi interpretativi che si erano posti in passato, il legislatore del 1988 ha preferito mantenere sul punto un approccio decisamente conservativo (3). I conditores hanno, infatti, riproposto all’art. 270, comma 1, c.p.p., nelle sue linee essenziali, l’assetto del vecchio codice, strutturando tale disposizione quale «norma a due volti» (4), che fissa, da un lato, un divieto d’uso generale dei risultati delle intercettazioni in «procedimenti diversi», e, da un altro lato, un’eccezione a tale regola per una fascia di gravi illeciti penali, in origine individuati nei soli delitti per cui è obbligatorio l’arresto in flagranza. Ebbene, la scelta di riutilizzare locuzioni (tra cui, in primis, quella di «procedimenti diversi»), che già in precedenza avevano dato prova di essere ambigue (5), non è stata oculata. Com’è noto, l’art. 270 c.p.p. si è dimostrato, nei primi trent’anni di vita del codice Vassalli, una delle previsioni più oscure dell’intera materia delle intercettazioni (6). Per di più, non è un Leo, Vecchio e nuovo in materia di intercettazioni telefoniche riguardanti reati non previsti nel decreto di autorizzazione, in Foro it., 1989, II, 19 ss. (3) A riguardo, cfr. Di Chiara, Note in tema di circolazione di atti investigativi e probatori tra procedimenti diversi, in Foro it., 1992, II, 78. (4) L’espressione è di Camon, sub art. 270 c.p.p., in Conso - Illuminati (cur.), Commentario breve al codice di procedura penale, II ed., Padova, 2015, 1049. (5) Cfr., in proposito, De Leo, Vecchio e nuovo in materia di intercettazioni, cit., 20 ss. (6) Per una sintesi dei plurimi problemi esegetici sollevati da tale disposizione, cfr. Filippi, Intercettazione, in Ferrua - Marzaduri - Spangher (cur.), La prova penale, Torino, 2013, 926 ss.
DIRITTO DI INTERNET N. 3/2020
413
SAGGI mistero che una parte della magistratura non abbia mai visto di buon occhio il divieto d’uso “obliquo” delle captazioni ivi fissato, considerandolo fonte di un’indebita dispersione di preziosi materiali cognitivi. Alla luce di ciò, non stupisce che, già nei primi anni Novanta, le critiche nei confronti dell’art. 270, comma 1, c.p.p. si siano tramutate in un vero e proprio “attacco frontale” nei confronti di tale previsione, la quale è stata tacciata di essere, sotto diversi profili, incostituzionale. In questo caso, il giudice delle leggi ha, però, fatto buona guardia. Dal canto suo, la Corte costituzionale, oltre a precisare che il divieto d’uso fissato nel primo comma dell’art. 270 c.p.p. si riferisce unicamente all’impiego probatorio delle risultanze, risultando estraneo al tema della possibilità di dedurre notizie di reato dalle captazioni legittimamente disposte aliunde (7), ha affermato che tale regola di esclusione, lungi dall’essere frutto di un «miope garantismo» (8), rappresenta, invece, un’«immediata attuazione in via legislativa» (9) degli artt. 2 e 15 Cost. (10). Più in particolare, a detta della Consulta, il limite generale al trasferimento delle captazioni in altre regiudicande sarebbe legato a doppio filo al principio che impone che siffatto mezzo di ricerca della prova sia attivato solo previo atto motivato dell’autorità giudiziaria (11). Difatti, secondo la Corte, consentire di utilizzare in modo incondizionato le intercettazioni in altri
(7) In dottrina, sul punto, v. Cordero, Procedura penale, XII ed., Milano, 2012, 859. (8) L’espressione è di Natalini, I contrasti sull’utilizzo in altro procedimento delle intercettazioni, in Guida dir., 2019, 41, 23. (9) Così, testualmente, Corte cost., 11 luglio 1991, n. 366, all’indirizzo <www.cortecostituzionale.it>. Cfr. anche, in termini analoghi, Corte cost., 10 febbraio 1994, n. 63, ivi. (10) Secondo la Corte specialmente il canone inviolabile della “libertà della comunicazione” sarebbe «pregiudicat[o], gravemente scoraggiat[o] o, comunque, turbat[o] ove la sua garanzia non comportasse il divieto […] di utilizzazione successiva delle notizie di cui si è venuti a conoscenza a seguito di una legittima autorizzazione di intercettazioni» (v. Corte cost., 11 luglio 1991, n. 366, cit.). (11) In questo senso si esprime anche la dottrina maggioritaria: cfr., tra i molti, Balducci, Le garanzie nelle intercettazioni tra Costituzione e legge ordinaria, Milano, 2002, 174 s.; Bronzo, Intercettazione ambientale tramite captatore informatico: limiti di ammissibilità, uso in altri processi e divieti probatori, in Giostra - Orlandi (cur.), Nuove norme in tema di intercettazioni. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, Torino, 2018, 259; Conti, Intercettazioni e inutilizzabilità: la giurisprudenza aspira al sistema, in Cass. pen., 2011, 3657; Filippi, L’intercettazione di comunicazioni, Milano, 1997, 182 s.; Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi: le Sezioni unite ristabiliscono la legalità costituzionale, in Sist. pen., 30 gennaio 2020, all’indirizzo <https://www.sistemapenale.it/it/ opinioni/utilizzazione-intercettazioni-procedimenti-diversi-sezioni-unite-ristabiliscono-legalita-costituzionale>; Longo, L’utilizzazione dei risultati delle intercettazioni in altro procedimento, in Cass. pen., 2007, 861; Ruggieri, Divieti probatori e inutilizzabilità nella disciplina delle intercettazioni telefoniche, Milano, 2001, 102 ss. In posizione in parte difforme, cfr., invece, Camon, Le intercettazioni nel processo penale, Milano, 1996, 277 ss.
414
DIRITTO DI INTERNET N. 3/2020
procedimenti «trasformerebbe l’intervento del giudice richiesto dall’art. 15 della Costituzione in un’inammissibile autorizzazione in bianco, con conseguente lesione della “sfera privata” legata alla garanzia della libertà di comunicazione» (12). Non è però tutto. Nella fondamentale sentenza n. 63 del 1994 la Consulta ha avuto anche modo di compiere ulteriori riflessioni importanti per la presente analisi. Più in particolare, il collegio ha qui chiarito che la Costituzione non impone affatto di configurare il divieto di trasferire le captazioni in altri procedimenti in forma assoluta, essendo ben possibile introdurre norme volte a derogarlo, come ha legittimamente fatto il legislatore del 1988 per i reati per cui è previsto l’arresto obbligatorio in flagranza. Tuttavia, il giudice delle leggi ha a tal proposito precisato che, laddove si introduca un’eccezione al limite probatorio in esame, ogni vaglio di costituzionalità della stessa «deve avvenire secondo i principi del più rigoroso scrutinio, nel senso che [….] occorre esaminare se la restrizione prevista sia diretta al soddisfacimento di un interesse pubblico primario costituzionalmente rilevante e, nello stesso tempo, risulti circoscritta alle operazioni strettamente necessarie alla tutela di quell’interesse» (13). Ed è proprio partendo da questa premessa di fondo che la Consulta ha considerato «di per sé contraria a Costituzione», in quanto «apertamente contrastante con le garanzia posta dall’art. 15 Cost.», la richiesta di un giudice di merito di estendere l’eccezione al divieto d’uso di cui all’art. 270, comma 1, c.p.p. a tutti i procedimenti «rispetto ai quali, ai sensi dell’art. 266 c.p.p., è ammissibile procedere alle intercettazioni» (14). In definitiva, da questa pronuncia si comprende come, per la Corte costituzionale, una deroga al generale limite al trasferimento delle captazioni aliunde possa giustificarsi solo per i «reati di maggiore gravità» e di «particolare allarme sociale» (15). Se un tanto è vero, risulta chiaro che il legislatore, ogniqualvolta decida di intervenire in questa materia, deve dimostrarsi quantomai cauto nel rispettare gli angusti paletti posti dal giudice delle leggi, essendovi sempre il pericolo di incrinare la delicata ponderazione tra il diritto dei singoli individui alla libertà e alla segretezza delle loro comunicazioni e l’interesse pubblico a reprimere gravi reati, sottostante alla previsione in esame. Giunti a questo punto, va peraltro ricordato che l’interpretazione garantista dell’art. 270 c.p.p., propugnata (12) Cfr., ancora, Corte cost., 11 luglio 1991, n. 366, cit. nonché, in termini corrispondenti, Corte cost., 10 febbraio 1994, n. 63, cit. (13) In tal senso, v. Corte cost., 10 febbraio 1994, n. 63, cit. (14) Così, ancora, Corte cost., 10 febbraio 1994, n. 63, cit. da cui sono tratte le citazioni testuali immediatamente precedenti. (15) Sono sempre parole di Corte cost., 10 febbraio 1994, n. 63, cit.
SAGGI dalla Consulta, non ha, fino a tempi recenti, fatto però breccia nella giurisprudenza maggioritaria della Cassazione. Per decenni, il giudice nomofilattico ha, infatti, preferito attestarsi su posizioni assai meno rigorose: una volta fallita la strada dell’incidente di costituzionalità, buona parte della magistratura non si è, invero, arresa e ha adottato una strategia differente per “disinnescare” la regola di esclusione de qua, che passa per il tentativo di restringerne quanto più possibile in via esegetica l’ambito di operatività. Se le tecniche di cui la suprema Corte si è avvalsa a tal fine risultano piuttosto varie (essendosi, ad esempio, stabilito che il divieto di cui all’art. 270 c.p.p. non varrebbe nell’ambito di procedimenti amministrativi (16), disciplinari (17), tributari (18) e persino in quelli di prevenzione (19), oppure che la disposizione in esame non si applicherebbe comunque, neppure in sede penale, laddove le captazioni siano “corpo del reato” (20)), la più diffusa è stata quella di atrofizzare l’ambigua clausola dei «procedimenti diversi» (21). In buona sostanza, una nutrita serie di pronunce della Cassazione ha tentato di interpretare in modo assai restrittivo la nozione di “procedimento diverso” e, per contro, di estendere quella antitetica di “medesimo procedimento”, al fine di eludere la tagliola del divieto probatorio dell’art. 270, comma 1, c.p.p. (22). Peraltro, se, per raggiungere tale obiettivo, molti arresti sono partiti da un presupposto comune – ossia il rigetto della tesi, maggioritaria in dot-
trina (23) e accolta da sparute pronunce (24), per cui il legislatore avrebbe adoperato qui «il concetto di “procedimento diverso” come un sinonimo di “reato diverso”» (25)– essi sono comunque spesso arrivati a risultati eterogenei. Si è così man mano venuto a creare un intricato contrasto in seno alla suprema Corte, in punto di operatività o meno dell’art. 270 c.p.p., qualora nel corso dell’attività captativa emergessero gli estremi di un reato ulteriore, prima ignoto, rispetto a quello per cui la captazione è autorizzata (26). Per anni si sono, infatti, contrapposti sul punto orientamenti “formalisti”, tesi ad affermare che in ogni caso in cui in occasione delle captazioni disposte per un reato si fosse scoperta l’esistenza di un’altra ipotesi criminale, prima sconosciuta, il divieto probatorio di cui all’art. 270 c.p.p. non avrebbe potuto operare, perché le informazioni sarebbero emerse nell’ambito del “medesimo procedimento” (27),
(23) In proposito, v., tra i tanti, Balducci, Le garanzie nelle intercettazioni, cit., 183 s.; Cassibba, La circolazione delle intercettazioni “tra archivio riservato” e “captatore informatico”, in Mazza (cur.), Le nuove intercettazioni, Torino, 2018, 167 ss.; Ciappi, Limiti all’utilizzabilità delle intercettazioni provenienti aliunde, in Dir. pen. proc., 1996, 1244 s.; De Gregorio, Diritti inviolabili dell’uomo e limiti probatori nel processo penale, in Foro it., 1992, I, 3262; Filippi, L’intercettazione di comunicazioni, cit., 181 s.; Ruggieri, Divieti probatori e inutilizzabilità, cit., 104 s. Una posizione originale sul punto è sostenuta da Camon, Le intercettazioni nel processo penale, cit., 280 s., il quale comunque arriva a risultati simili. (24) Cfr., ad esempio, Cass., sez. IV, 11 dicembre 2008, n. 4169, all’indirizzo <https://dejure.it>. (25) La citazione è tratta da Camon, sub art. 270 c.p.p., cit., 1050, il quale continua precisando che, in quest’ottica, «ogni qual volta dalla captazione fonica risultasse un’ipotesi criminosa diversa da quella originariamente ipotizzata, scatterebbe l’art. 270», essendo altresì irrilevante «che il “secondo” reato sia strettamente connesso o collegato rispetto al “primo”».
(16) Cons. di Stato, sez. VI, 10 gennaio 2020, n. 258, all’indirizzo <https://dejure.it>. Si veda, in proposito, ampiamente, Nappi, Sull’utilizzazione extrapenale dei risultati delle intercettazioni, in Cass. pen., 2014, 387 ss. (17) Cass., sez. un., 23 dicembre 2009, n. 27292, all’indirizzo <https:// dejure.it>. (18) Cass., sez. trib., 7 febbraio 2013, n. 2916, in Dir. giust., 12 febbraio 2013. (19) Cass., sez. V, 28 maggio 2008, n. 37659, in Cass. pen., 2009, 3977. (20) Cass., sez. un., 26 giugno 2014, n. 32697, in Cass. pen., 2014, 4046. (21) In proposito, v. l’ampia analisi di Tavassi, Le intercettazioni ubiquitarie fra legalità e non dispersione della prova, in Arch. pen. web., 2018, 2, 2 ss., all’indirizzo <http://www.archiviopenale.it/le-intercettazioni-ubiquitarie-fra-legalita-e-non-dispersione-della-prova/articoli/17457>. (22) L’idea di fondo di molti arresti era, infatti, quella per cui la circolazione endoprocedimentale del captato non sarebbe stata soggetta a particolari limiti di utilizzabilità, non trovando la stessa una regolazione esplicita nella previsione in esame. Circa il rischio che una lettura riduttiva del concetto di “diverso procedimento” porti a una sorta di «interpretatio abrogans dell’art. 270 c.p.p.», cfr. Conti, Intercettazioni e inutilizzabilità, cit., 3657.
(26) Per un quadro di sintesi delle varie posizioni giurisprudenziali sul punto, cfr. Alvino, Bene captum, male retentum, cit.; De amicis, Il regime della “circolazione” delle intercettazioni dopo la riforma, all’indirizzo < https:// www.giustiziainsieme.it/it/diritto-processo-penale/879-il-regime-della-circolazione-delle-intercettazioni-dopo-la-riforma>; Filippi, Riforme attuate, riforme fallite e riforma mancate degli ultimi 30 anni. Le intercettazioni, in Arch. pen. web, 2019, 2, 28 s., all’indirizzo <http://www.archiviopenale. it/riforme-attuate-riforme-fallite-e-riforme-mancate-degli-ultimi-30-anni-le-intercettazioni/articoli/21743>; Natalini, I contrasti sull’utilizzo in altro procedimento delle intercettazioni, cit., 23 ss.; Pestelli, La controriforma delle intercettazioni di cui al d.l. 30 dicembre 2019 n. 161: una nuova occasione persa, tra discutibili modifiche, timide innovazioni e persistenti dubbi di costituzionalità, in Sist. pen., 2020/2, 143 ss., all’indirizzo < https://www. sistemapenale.it/pdf_contenuti/1581977415_pestelli-2020a-controriforma-intercettazioni-decreto-legge-161-2019.pdf>; Pretti, La metamorfosi delle intercettazioni: la contro-riforma Bonafede e l’inarrestabile mito della segretezza delle comunicazioni, ivi, 99 ss., all’indirizzo < https://sistemapenale. it/pdf_contenuti/1581632895_pretti-2020a-intercettazioni-contro-riforma-boanfede-decreto-legge-161-2019.pdf>. (27) Cfr., tra le molte, Cass., sez. VI, 16 ottobre 2018, n. 10893, in Guida dir., 2019, 18, 75; Cass., sez. VI, 26 aprile 2017, n. 31984, all’indirizzo <https://dejure.it>; Cass., sez. VI, 15 luglio 2015, n. 41317, in Guida dir., 2016, 7, 97. Si qualifica tale orientamento come “formalista”, perché esso fonda la propria esegesi sul criterio formale dell’inerenza del nuovo reato
DIRITTO DI INTERNET N. 3/2020
415
SAGGI a filoni “sostanzialisti”, che, invece, hanno escluso l’applicazione di siffatto limite alla prova in caso vi fosse un rapporto di connessione ex art. 12 c.p.p. o almeno di collegamento ex art. 371 c.p.p. tra la fattispecie per cui l’intercettazione è stata autorizzata e quella individuata tramite l’attività captativa (28). Ebbene, una soluzione di tale contrasto si è avuta soltanto di recente grazie a un intervento delle sezioni unite (29): quest’ultime, con una decisione molto articolata, hanno sottoposto a critica tutti gli orientamenti pretori consolidatisi in precedenza e hanno fornito una propria lettura dell’art. 270 c.p.p., ben più garantista di quella finora maggioritaria, volta a porre un freno alle esegesi che tendevano, al fine di eludere l’inutilizzabilità, a estendere oltre ogni limite il concetto di uso delle intercettazioni nel “medesimo procedimento”. In estrema sintesi, il massimo collegio ha qui affermato il principio di diritto secondo cui il divieto di trasferire aliunde i risultati delle intercettazioni non opererebbe – ferma restando l’eccezione per i reati per cui è obbligatorio l’arresto in flagranza – unicamente «con riferimento a reati che risultino connessi ex art. 12 c.p.p., a quelli in relazione ai quali l’autorizzazione era stata ab origine disposta, sempreché rientrino nei limiti di ammissibilità previsti dalla legge» all’art. 266 c.p.p. (deve trattarsi, in altri termini, di un reato passibile di intercettazione (30)).
Senza che ci si possa dilungare sul punto in questa sede, merita solo rilevare che tale recente arresto si segnala soprattutto per l’importanza che lo stesso ha cercato di attribuire alla Costituzione e alla giurisprudenza della Consulta in materia, le quali assumono un ruolo chiave nell’intera parte motiva. Non vi sono dubbi nell’affermare che l’overruling compiuto dalle sezioni unite si deve proprio alla volontà di dare finalmente un «giusto riconoscimento alla necessità di tutelare i diritti fondamentali» (31). Dopo tante tribolazioni, il giudice nomofilattico nella sua più autorevole composizione ha, in definitiva, compiuto un serio – anche se di certo non impeccabile (32) – tentativo di «ristabili[re] la legalità costituzionale» (33), prima costantemente violata dalla giurisprudenza maggioritaria. Chi, peraltro, si aspettasse che siffatta decisione potesse finalmente assicurare – per la prima volta dopo decenni di discussioni – un po’ di chiarezza nella tormentata materia dell’uso “obliquo” delle captazioni è rimasto totalmente deluso. Ancora prima che la pronuncia de qua fosse depositata, il legislatore ha colto l’occasione per coinvolgere l’art. 270 c.p.p. nella complessa novella delle intercettazioni, apportata dal d.l. 30 dicembre 2019, n. 161, convertito nella l. 28 febbraio 2020, n. 7 (34), ri-
al medesimo contenitore dell’attività di indagine (ossia il procedimento d’origine).
(31) Così, testualmente, Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi, cit.
(28) In questo senso, ad esempio, Cass., sez. III, 24 aprile 2018, n. 29856, all’indirizzo <https://dejure.it>; Cass., sez. V, 16 marzo 2016, n. 45535, ivi; Cass., sez. III, 5 novembre 2015, n. 2608, in Cass. pen., 2016, 3363.
(32) Cfr., in proposito, ancora Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi, cit., secondo cui «si può forse ammettere che, pure in mancanza di un preciso riscontro testuale, la norma così interpretata soddisfi la tassatività della riserva di legge prescritta dall’art. 15 Cost. Rimane però, insopprimibile, lo scarto tra la motivazione del provvedimento e la violazione della segretezza riguardante il reato diverso, violazione che si riproduce per ogni notizia sopravvenuta di cui si venga a conoscenza tramite l’intercettazione e che possa successivamente essere utilizzata e divulgata». Per alcune interessanti considerazioni critiche circa il principio di diritto espresso dal massimo collegio, cfr. Natali, Sezioni unite e “legge Bonafede”, cit., 1906-1909, nonché Tabasco, I risultati delle intercettazioni nei “procedimenti diversi”, in Arch. pen. web., 2020, 2, 16 ss., all’indirizzo <http://www.archiviopenale.it/File/DownloadArticolo?codice=3889d43f-70f9-408e-b89d-4d02cf84b829&idarticolo=23896>. In una prospettiva antitetica, orientata a rivitalizzare l’orientamento formalista del tutto sconfessato dal massimo collegio, v. Pretti, La metamorfosi delle intercettazioni: la contro-riforma Bonafede, cit., 103.
(29) Il riferimento va a Cass., sez. un., 2 gennaio 2020, n. 51, all’indirizzo <https://www.sistemapenale.it/it/opinioni/utilizzazione-intercettazioni-procedimenti-diversi-sezioni-unite-ristabiliscono-legalita-costituzionale>, con nota di Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi, cit. In merito a tale pronuncia, cfr., tra i molti, Alvino, Bene captum, male retentum, cit.; Chelo, Divieto di utilizzabilità delle intercettazioni telefoniche ex art. 270 c.p.p.: sull’effettiva portata della nozione di “procedimento diverso”, all’indirizzo <http://ilpenalista.it/articoli/contrasti-giurisprudenziali/divieto-di-utilizzabilit-delle-intercettazioni-telefoniche-ex>; De amicis, Il regime della “circolazione”, cit., 6 ss.; Natali, Sezioni unite e “legge Bonafede”: nuove regole per l’uso trasversale delle intercettazioni, in Cass. pen., 2020, 1893 ss.; Natalini, Uso obliquo dei flussi: vaglio d’ammissibilità sempre necessario, in Guida dir., 2020, 6, 89 ss. (30) Prima della pronuncia in esame anche su quest’aspetto vi era un contrasto in giurisprudenza. Nel corso del tempo, si erano, infatti, fronteggiati indirizzi permissivi, secondo cui non sarebbe stato necessario che il nuovo reato rientrasse tra quelli dell’art. 266 c.p.p. per rendere l’intercettazione captata aliunde utilizzabile (cfr., ad esempio, Cass., sez. VI, 21 febbraio 2018, n. 19496, all’indirizzo <https://dejure.it>), ad altri restrittivi, che, invece, richiedevano anche a valle il rispetto dei limiti di ammissibilità previsti dalla legge (in tal senso, ad esempio, Cass., sez. II, 18 dicembre 2015, n. 1924, all’indirizzo <https://dejure.it>). Dal canto loro, le sezioni unite hanno nettamente prediletto tale seconda tesi, ritenendo che la previsione di cui all’art. 266 – considerata «espressione di-
416
DIRITTO DI INTERNET N. 3/2020
retta e indefettibile» della riserva assoluta di legge di cui all’art. 15 Cost. – sarebbe elusa nel caso in cui si consentisse l’uso di captazioni per reati, pur connessi, che, di per sé, non le consentirebbero.
(33) La citazione è tratta da Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi, cit. (34) Per un commento complessivo a tale novella, cfr., oltre ai plurimi contributi contenuti in Guida dir., 2020, 13, 34-58, Filippi, Intercettazioni: habemus legem!, in Dir. pen. proc., 2020, 453 ss., Parodi, Convertito il d.l. 161/2019 in materia di intercettazioni: le correzioni di rotta, in <http:// ilpenalista.it/articoli/focus/convertito-il-dl-1612019-materia-di-intercettazioni-le-correzioni-di-rotta>; Nappi, Appunti sulla nuova disciplina delle intercettazioni, all’indirizzo <https://www.giustiziainsieme.it/it/diritto-processo-penale/1013-appunti-sulla-nuova-disciplina-delle-intercettazioni-di-aniello-nappi>. V. anche la Relazione dell’Ufficio del massimario
SAGGI mescolando così, ancora una volta, radicalmente le carte in tavola. Come si avrà modo di vedere, le modifiche appena introdotte risultano tutt’altro che secondarie, essendo in grado di ridurre in modo radicale la portata del divieto d’uso delle captazioni in altri procedimenti e di travolgere gli effetti benefici del recente arresto dalle sezioni unite. Preso atto di ciò, nel prosieguo di questo lavoro si tenterà di fornire una prima lettura ragionata del novellato art. 270 c.p.p. (35); operazione che, è bene chiarirlo fin da subito, risulta tutt’altro che semplice. A causa di una tecnica normativa affetta da un’approssimazione davvero preoccupante, la nuova versione della regola risulta, infatti, assai problematica.
2. Dal d.l. 30 dicembre 2019, n. 161 alla l. 28 febbraio 2020, n. 7: cenni sui lavori preparatori
Le modifiche apportate all’art. 270 c.p.p. hanno costituito uno dei temi più controversi dell’intera “riforma Bonafede” delle intercettazioni (36). Merita osservare che la principale causa scatenante che ha spinto il legislatore a intervenire in quest’ambito è stata proprio l’emanazione della sentenza delle sezioni unite n. 51 del 2020
e del ruolo n. 35 del 23 marzo 2020, 12-16, all’indirizzo <http://www. cortedicassazione.it/cassazione-resources/resources/cms/documents/ Rel3520.pdf>. (35) Tra i primi commenti al nuovo art. 270 c.p.p., cfr. Alvino, La circolazione delle intercettazioni e la riformulazione dell’art. 270 c.p.p.: l’incerto pendolarismo tra regola ed eccezione, in Sist. pen., 2020/5, 233 ss., all’indirizzo <https://sistemapenale.it/pdf_contenuti/1589742855_alvino-2020a-riforma-intercettazioni-utilizzabilita-270-cpp.pdf>; Amato, Procedimenti diversi, permangono dubbi nonostante le Su, in Guida dir., 2020, 13, 44 ss.; Filippi, Intercettazioni: habemus legem!, cit., 462; Marandola, Intercettazioni: una riforma nel segno della “non dispersione”. I nuovi limiti di utilizzabilità ex art. 270 c.p.p., all’indirizzo <http://ilpenalista.it/articoli/news/ intercettazioni-una-riforma-nel-segno-della-non-dispersione-i-nuovi-limiti-di>; Natali, Sezioni unite e “legge Bonafede”, cit., 1911-1914; Pasta, Le lenti del formalista e i silenzi del legislatore. Sull’utilizzazione delle intercettazioni per l’accertamento di reati diversi, in Arch. pen. web., 2020, 2, all’indirizzo <http://www.archiviopenale.it/File/DownloadArticolo?codice=8d1d8 0b7-2da9-4fa9-941e-65cf308e3661&idarticolo=23893>; Pretti, La metamorfosi delle intercettazioni, ultimo atto? La legge n. 7/2020 di conversione del d.l. n. 161/2019, in Sist. pen., 2 marzo 2020, all’indirizzo <https:// sistemapenale.it/it/scheda/pretti-metamorfosi-intercettazioni-legge-conversione-7-del-2020>; Spangher - Antinucci, Possibili le intercettazioni “a strascico” attraverso l’uso del captatore informatico per i reati comuni?, all’indirizzo <https://penaledp.it/possibili-le-intercettazioni-a-strascico-attraverso-luso-del-captatore-informatico-per-i-reati-comuni/>; Tabasco, I risultati delle intercettazioni, cit., 20 ss. Cfr. pure la Relazione dell’Ufficio del massimario, cit., 12-16. (36) Si è trattato di un tema tanto cruciale che secondo l’avvocatura «l’intervento su tale norma è probabilmente la ragione nascosta che ha indotto il governo ad avvalersi […] della decretazione di urgenza» (in questo senso le Osservazioni dell’Unione delle Camere penali sulla conversione in legge del d.l. 30 dicembre 2019 n. 161 in materia di intercettazioni, all’indirizzo <https://www.camerepenali.it/public/file/Documenti/Doc-041_05-042020_Osservazioni_Conversione_Legge_D-Lgs_30-12-19_n-161_intercettazioni.pdf>).
sopra citata, la quale è stata costantemente richiamata lungo tutto l’arco dei lavori preparatori. Peraltro, dato che il percorso di novella è proceduto per gradi, è d’uopo partire dall’analisi del d.l. 161 del 2019, ossia la prima tappa della riforma. Ebbene, per quanto qui rileva, tale atto si è limitato a intervenire, oltreché sul comma 2 dell’art. 270 (con una norma di raccordo resasi necessaria a seguito della scelta di abrogare del tutto gli artt. 268-bis, 268-ter e 268-quater c.p.p. (37)), unicamente sul comma 1-bis dello stesso, in materia di intercettazioni compiute mediante captatore informatico. Il cambio di prospettiva a questo proposito rispetto al d. lgs. 29 dicembre 2017, n. 216 – ossia la fonte che, com’è noto, ha interpolato per la prima volta tale ulteriore comma nell’art. 270 c.p.p. (38) – è stato, però, da subito, radicale. Se, infatti, la “riforma Orlando” del dicembre 2017 aveva strutturato l’art. 270, comma 1-bis, c.p.p. secondo uno schema simile (ma non analogo) rispetto a quello previsto dal comma 1 della medesima previsione per le intercettazioni ordinarie (39), l’approccio fatto proprio dal d.l. 161 del 2019 è risultato, invece, differente. L’art. 2, comma 1, lett. g, n. 1 del provvedimento d’urgenza ha, invero, riscritto interamente la regola, prevedendo, accanto a un’inedita clausola di rinvio al comma uno dell’art. 270 («fermo restando quanto previsto dal comma 1»), che «i risultati delle intercettazioni tra presenti operate con captatore informatico su dispositivo elettronico portatile» fossero utilizzabili «anche per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione, se compresi tra quelli indicati dall’articolo 266, comma 2-bis». Ebbene, al di là di tutte le difficoltà esegetiche sollevate dalla norma in questione, sulle quali si tornerà in seguito (40), è d’uopo osservare che, stando a quanto si ricava dalla relazione illustrativa del d.d.l. di conversione del d.l. 161/2019, già siffatta rimodulazione dell’art. 270, comma 1-bis, c.p.p. è stata compiuta «anche alla luce della
(37) In proposito, si veda infra il par. 5 del presente scritto. (38) Per un’esaustiva analisi di tale previsione, per come strutturata dal d. lgs. 216 del 2017, cfr., per tutti, Alesci, Le intrusioni inter praesentes, in Bene (cur.), L’intercettazione di comunicazioni, Bari, 2018, 82 ss.; Bronzo, Intercettazione ambientale tramite captatore informatico, cit., 257 ss.; Cassibba, La circolazione delle intercettazioni, cit., 163 ss.; Filippi, Intercettazioni: una riforma complicata e inutile, in Dir. pen. proc., 2018, 303; Orlandi, Usi investigativi dei cosiddetti captatori informatici. Criticità e inadeguatezza di una recente riforma, in Riv. it. dir. proc. pen., 2018, 549; Tavassi, Le intercettazioni ubiquitarie, cit., 15 ss. (39) L’originaria versione dell’art. 270, comma 1-bis, c.p.p. stabiliva, infatti, da un lato, un divieto d’uso generale dei risultati delle captazioni operate con il trojan horse «per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione» e, da un altro lato, un’eccezione a tale regola per la sola categoria tradizionale dei delitti per i quali è obbligatorio l’arresto in flagranza. (40) Vedi infra, par. 4.
DIRITTO DI INTERNET N. 3/2020
417
SAGGI recentissima sentenza delle sezioni unite della Corte di cassazione» (41) n. 51 del 2020. A ogni modo, la pronuncia de qua ha giocato un ruolo ancor più determinante nel corso della procedura parlamentare di conversione del d.l. Una volta che ne sono state rese note le motivazioni, essa ha infatti iniziato a suscitare un ampio dibattito critico in parte della magistratura (42), i cui echi hanno raggiunto il legislatore (43), il quale ha, dal canto suo, sentito la necessità di intervenire in modo più articolato sull’art. 270 c.p.p., rispetto a quanto aveva fatto in via d’urgenza. Se ciò è vero, va peraltro ricordato che le forze parlamentari si sono nettamente divise circa il come novellare la previsione de qua. Non a caso, sono stati presentati in proposito emendamenti eterogenei in Commissione giustizia del Senato (44), alcuni dei quali tesi a codificare in modo piuttosto pedissequo quanto stabilito dal massimo collegio in tale arresto (45). Un passaggio chiave si è avuto nella seduta pomeridiana del 18 febbraio 2020 della Commissione Giustizia, allorquando la maggioranza ha deciso di cambiare prospettiva rispetto ai testi negoziati fino a quel momento e di presentare un emendamento, a firma del relatore Giarrusso (n. 2.219), volto a sostituire il primo comma dell’art. 270 c.p.p. con il seguente: «i risultati delle intercettazioni non possono essere utilizzati in procedimenti (41) In questo senso, si esprime la Relazione introduttiva al d.d.l. S n. 1659, in Atti Senato, XVIII leg., Disegni di legge e relazione, Documenti, 5. A dir la verità, tale rinvio potrebbe lasciare perplessi, posto che l’arresto in questione ha avuto a oggetto le intercettazioni ordinarie, non toccando, se non incidentalmente, quelle compiute mediante trojan. Per un cenno sul punto, Larinni, La (contro)riforma delle intercettazioni, 7, all’indirizzo <https://discrimen.it/la-controriforma-delle-intercettazioni-d-l-n-161-del-2019/>. (42) Si veda, ad esempio, l’ampio Parere del Consiglio Superiore della Magistratura sul Disegno di legge n. 1659 AS di conversione del Decreto Legge n. 161/2019 recante modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni, delibera 13 febbraio 2020, 4-7, all’indirizzo <https://www.csm.it/web/csm-internet/norme-e-documenti/dettaglio/-/ asset_publisher/YoFfLzL3vKc1/content/parere-sul-d-l-161-2019-in-materia-di-intercettazioni?redirect=/web/csm-internet/norme-e-documenti/ atti-consiliari/pareri-e-proposte-al-ministro>. (43) Cfr., ad esempio, il documento, acquisito in Commissione Giustizia del Senato, del Procuratore di Potenza Curcio, Appunto per la Presidenza della Commissione Giustizia del Senato sul DL 161/2019, all’indirizzo <http://www.senato.it/application/xmanager/projects/ leg18/attachments/documento_evento_procedura_commissione/files/000/067/701/CURCIO_Procuratore_di_Potenza.pdf>. (44) Si vedano gli emendamenti da 2.88 a 2.102, pubblicati in allegato al resoconto sommario della seduta n. 143 del 13 febbraio 2020 della Commissione giustizia del Senato, all’indirizzo <http://www.senato.it/ japp/bgt/showdoc/18/SommComm/0/01143453/index.html?part=doc_dc>. (45) Cfr., ad esempio, l’emendamento 2.85 del senatore Grasso, in Atti Senato, XVIII leg., Commissione Giustizia, res. somm. 13 febbraio 2020, n. 143, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/SommComm/0/01143453/index.html?part=doc_dc>.
418
DIRITTO DI INTERNET N. 3/2020
diversi da quelli nei quali sono stati disposti, salvo che risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza e dei reati di cui all’articolo 266, comma 1 [corsivi aggiunti]» (46). Difatti, sebbene la proposta in questione sia stata da subito criticata in modo acceso dalle opposizioni (47), la stessa ha, invece, convinto la maggioranza, la quale l’ha approvata il giorno dopo con un unico ritocco, consistente nell’aggiunta di un riferimento al criterio della “rilevanza”, accanto a quello dell’“indispensabilità”, tra i requisiti di utilizzabilità delle intercettazioni ordinarie in altri procedimenti (48). Non è però tutto. Nella medesima seduta pomeridiana del 19 febbraio 2020 della Commissione Giustizia del Senato è stato anche approvato un ulteriore emendamento (il n. 2.94 (49)), volto a modificare parzialmente l’art. 270, comma 1-bis, c.p.p., per come riformulato dal d.l. 161 del 2019 (50). In buona sostanza, si è così scelto di intervenire sulla seconda parte della disposizione, stabilendo che non è sufficiente che i reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione a utilizzare il virus informatico rientrino nella categoria di quelli indicati dall’articolo 266, comma 2-bis, c.p.p., affinché l’intercettazione sia utilizzabile aliunde, ma è anche necessario che la stessa risulti «indispensabile per il loro accertamento». In tal modo, si è posto rimedio a un criticabile difetto di raccordo tra il comma 1 e il comma 1-bis dell’art. 270 c.p.p., causato dal d.l. 161 del 2019. Purtroppo, però, se ne è lasciato intonso un altro: nella norma riguardante il captatore informatico non si è, infatti, avuta l’accortezza di compiere alcun
(46) Il testo dell’emendamento 2.219 del senatore Giarrusso si può ritrovare in Atti Senato, XVIII leg., Commissione Giustizia, res. somm. 18 febbraio 2020, n. 147, all’indirizzo, <http://www.senato.it/japp/bgt/ showdoc/18/SommComm/0/01143562/index.html?part=doc_dc>. (47) Forti critiche nei confronti dell’emendamento 2.219 sono state manifestate in Commissione Affari Costituzionali nella seduta n. 132 del 19 febbraio 2020 dal senatore Borghesi, il quale, ritenendo lo stesso foriero di problemi di costituzionalità, aveva proposto alla Commissione di emanare un parere volto a modificarlo. Si veda, in proposito, lo schema di parere proposto dal relatore sugli emendamenti riferiti al d.d.l. n. 1659, in Atti Senato, XVIII leg., Commissione Affari Costituzionali, res. somm. 19 febbraio 2020, n. 132, all’indirizzo <http://www.senato.it/japp/bgt/ showdoc/18/SommComm/0/01143660/index.html?part=doc_dc>. (48) Si veda il sub-emendamento 2.219/1, Cucca, D’angelo, Grasso, Mirabelli, pubblicato in Atti Senato, XVIII leg., Commissione Giustizia, res. somm. 19 febbraio 2020, n. 148, in <http://www.senato.it/japp/bgt/showdoc/18/SommComm/0/01143661/index.html?part=doc_dc>. (49) L’emendamento 2. 94 Mirabelli, Cirinnà, Valente, Rossomando, è pubblicato in Atti Senato, XVIII leg., Commissione Giustizia, res. somm. 13 febbraio 2020, n. 143, all’indirizzo <http://www.senato.it/japp/bgt/ showdoc/18/SommComm/0/01143453/index.html?part=doc_dc>. (50) Cfr. Atti Senato, XVIII leg., Commissione Giustizia, res. somm. 19 febbraio 2020, n. 148, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/SommComm/0/01143661/index.html?part=doc_dc>.
SAGGI rinvio al requisito della “rilevanza”, che, come si è appena ricordato, è stato introdotto (poco dopo) nella stessa seduta per le intercettazioni ordinarie. Non sembrano, peraltro, esservi dubbi nell’affermare che tale disallineamento non sia affatto frutto di una scelta meditata, ma, piuttosto, di una cattiva tecnica di coordinamento dei riformatori (51). Un tanto sta a dimostrare che la scelta degli esponenti della maggioranza di spacchettare in vari micro-emendamenti le modifiche da apportare a un medesimo articolo, specie se collocata in un contesto, quale quello in esame, in cui vi erano pochi giorni a disposizione per convertire in legge il d.l. 161 del 2019, è stata certamente infelice. Proprio la fretta di adottare a tutti i costi la legge di conversione ha, infatti, spinto il Governo a porre già al Senato la questione di fiducia sul testo della novella, per come modificato dalla Commissione Giustizia, il che ha reso vane tutte le critiche sollevate in Aula dall’opposizione (52) (e, persino, da una parte della maggioranza (53)) nei confronti del nuovo primo comma dell’art. 270 c.p.p. Dopo una rapida discussione, il 20 febbraio il testo della legge di conversione è stato così approvato dal Senato, venendo subito trasmesso alla Camera dei deputati. Ebbene, va preso atto che tale ramo del Parlamento si è trovato costretto a lavorare in tempi davvero serrati. La maggioranza si è pertanto rifiutata di apportare qualsivoglia modifica al testo proveniente dal Senato, che è risultato bloccato grazie, ancora una volta, allo strumento del voto di fiducia (54). (51) Difatti, è ben probabile che il mancato inserimento di tale requisito sia dovuto al semplice fatto che l’emendamento n. 2.94 (concernente la previsione sul trojan) è stato approvato prima del sub-emendamento n. 2.219/1, con cui il rinvio alla “rilevanza” è stato introdotto per le intercettazioni comuni. In altre parole, sembra che, nel momento in cui si è inserito tale ulteriore criterio nell’art. 270, comma 1, c.p.p., non ci si sia resi conto del fatto che ciò avrebbe poi disallineato nuovamente siffatta previsione da quella speciale concernente i trojan, la quale era stata modificata solo poche ore prima. (52) Si vedano, ad esempio, gli interventi dei senatori Vitali, Urraro e Caliendo in Atti Senato, XVIII leg., Assemblea, seduta 19 febbraio 2020, n. 193, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/ Resaula/0/01143667/index.html?part=doc_dc>, nonché quelli dei senatori Dal-Mas e Pillon in Atti Senato, XVIII leg., Assemblea, seduta 20 febbraio 2020, n. 194, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/Resaula/0/01143724/index.html?part=doc_dc>. (53) Cfr. l’intervento del senatore Cucca in Atti Senato, XVIII leg., Assemblea, seduta 20 febbraio 2020, n. 194, all’indirizzo <http://www.senato. it/japp/bgt/showdoc/18/Resaula/0/01143724/index.html?part=doc_ dc>. (54) Peraltro, la tensione in seno alla stessa maggioranza sul tema dell’utilizzo “obliquo” delle intercettazioni si è fatta alla Camera ancor più palpabile di quanto non fosse già al Senato. Per rendersi conto di ciò, basta ricordare che un Deputato di Italia Viva, in sede di dichiarazione di voto, ha affermato che il suo gruppo politico, pur «costretto» ad approvare la riforma dalla fiducia posta anche qui dal Governo, non poteva che manifestare il suo aperto «disappunto» nei confronti del «tentativo» del resto della maggioranza «di sovvertire» con la nuova versione dell’art.
In definitiva, all’esito dell’analisi dei lavori preparatori della novella de qua, un dato emerge con chiarezza. È evidente che quello della “riforma Bonafede” delle intercettazioni non sia stato certamente il contesto adatto per intervenire su una previsione così delicata e fonte di tanti contrasti giurisprudenziali, quale l’art. 270 c.p.p. Dopo decenni di dibattiti, infatti, ci si sarebbe aspettati un intervento normativo meditato e non una serie di modifiche, negoziate in pochi giorni – con estrema fatica e in modo tra loro scoordinato – soltanto nella Commissione Giustizia di un ramo del Parlamento, le quali sono state poi blindate da ogni possibile miglioria.
3. Le modifiche all’art. 270, comma 1, c.p.p.
Come si è avuto modo di accennare nel paragrafo precedente, nella sua nuova veste, l’art. 270, comma 1, c.p.p. stabilisce che «i risultati delle intercettazioni non possono essere utilizzati in procedimenti diversi da quelli nei quali sono stati disposti, salvo che risultino rilevanti e indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza e dei reati di cui all’articolo 266, comma 1 [corsivi aggiunti]» c.p.p. Già a prima lettura, ci si renderà conto di come le modifiche abbiano lasciato intonsa l’ambigua clausola dei “procedimenti diversi” e si siano concentrate solo sulla parte della disposizione che regola le ipotesi derogatorie al divieto d’uso generale di trasferimento delle captazioni aliunde. Due i ritocchi apportati: da un lato, è stato aggiunto il requisito della “rilevanza” a quello dell’“indispensabilità” e, da un altro lato, si è inserito un riferimento ai reati di cui all’art. 266, comma 1, c.p.p. tra quelli per cui non opera la regola di esclusione. Entrambi gli interventi sollevano complessi nodi interpretativi, che, inevitabilmente, richiederanno un articolato impegno giurisprudenziale per essere sciolti. In prima battuta, risulta già difficile capire quale sia l’effettiva portata precettiva del requisito della “rilevanza”, dato che lo stesso non parrebbe aggiungere alcunché rispetto al parametro dell’indispensabilità, da sempre contenuto all’art. 270, comma 1, c.p.p. Non a caso, già i primi commentatori hanno osservato che non sembrerebbe «che questa modifica del testo normativo comporti un’effettiva restrizione dell’ambito di ammissibilità della migrazione dei risultati delle intercettazioni» (55), 270 c.p.p. la sentenza delle sezioni unite n. 51 del 2020 (cfr. l’intervento dell’on. Vitiello, in Atti Camera, XVIII leg., Assemblea, seduta 25 febbraio 2020, n. 311, all’indirizzo <https://documenti.camera.it/leg18/resoconti/assemblea/html/sed0311/stenografico.pdf>). (55) Così, testualmente, Nappi, Nuova guida telematica al codice di procedura penale, parte II, cap. IX, 37.11.3, all’indirizzo <https://www.guidanappi.it/component/k2/item/353-nuova-guida-al-codice-di-procedura-penale>. Nello stesso senso, cfr. anche Filippi, Intercettazioni: finalmente una legge! (ma in vigore a settembre), all’indirizzo <https://penaledp.it/ intercettazioni-finalmente-una-legge-ma-in-vigore-a-settembre/>; Parodi,
DIRITTO DI INTERNET N. 3/2020
419
SAGGI dato che non si comprende come degli elementi probatori possano risultare “indispensabili” per l’accertamento di un delitto, «pur non essendo rilevanti agli stessi fini» (56). Il dato davvero paradossale è che una lettura riduttiva del genere della nuova clausola è stata fornita pure da uno degli stessi proponenti del sub-emendamento, che ha portato poi a tale interpolazione. Difatti, nella seduta n. 193 del 19 febbraio 2020 dell’Aula il senatore Grasso ha, a tal proposito, affermato testualmente che «è evidente che, se una prova è indispensabile, sarà senza dubbio anche rilevante» (57). A ogni modo, pare però forse esservi una strada per evitare che il novum normativo venga del tutto svuotato di utilità concreta. Un’ipotesi potrebbe essere quella di ritenere che il richiamo al parametro della “rilevanza” vada a rafforzare quello dell’indispensabilità (58), imponendo così il superamento degli orientamenti giurisprudenziali lassisti, criticati dalla dottrina maggioritaria (59), i quali hanno stabilito che la norma di cui all’art. 270 c.p.p. andrebbe interpretata in senso lato, consentendo l’uso “obliquo” nel procedimento ad quem delle intercettazioni anche solo per la commisurazione della pena (60). Ebbene, ora che il riformatore del 2020 ha espressamente legato il criterio della “rilevanza” delle intercettazioni all’aspetto oggettivo dell’“accertamento” dei fatti di reato di cui all’art. 270, comma 1, c.p.p. (61) sembra che, ancor più di ieri, sia oggi esclusa la circolazione per altri scopi, quale, per l’appunto, quello di mera determinazione della pena. In tal modo, ne esce confermata la tesi di chi, da tempo, ha sostenuto che il trasferimento delle intercettazioni è possibile solo allorquando, senza quegli elementi di prova, non sia possibile risolvere «l’alternativa condanna-proscioglimen-
to» (62). Non sfuggirà, peraltro, che una lettura siffatta ha il pregio di essere non solo coerente con l’argomento economico (o della non ridondanza del legislatore), perché è in grado di attribuire un certo rilievo all’aggiunta normativa compiuta dai conditores, ma anche costituzionalmente orientata, perché volta a mantenere entro la “stretta necessità” la compressione dei diritti fondamentali di cui all’art. 2 e 15 Cost., in nome delle opposte esigenze di repressione della criminalità. Il vero punto critico sta, però, nell’individuare la corretta portata da attribuire al «nuovo explicit dell’art. 270 comma 1 c.p.p., nella parte in cui si consente l’utilizzazione dei risultati delle intercettazioni in procedimenti diversi solo se funzionali (rilevanti e indispensabili) all’accertamento “di delitti per i quali è obbligatorio l’arresto in flagranza e dei reati di cui all’articolo 266, comma 1” c.p.p.» (63). Orbene, i primi commentatori hanno rilevato come siffatta interpolazione si presti a due letture antitetiche, a seconda di quale significato si attribuisca alla congiunzione “e”, che divide i delitti per cui è obbligatorio l’arresto in flagranza, dai reati di cui all’art. 266, comma 1, c.p.p. (64). Secondo una prima tesi, a tale particella andrebbe attribuito valore “aggiuntivo”, consentendo la circolazione delle captazioni, non più solo per le fattispecie per cui la legge prevede l’arresto obbligatorio in flagranza, ma anche per tutte quelle di cui all’art. 266, comma 1, c.p.p. (65). In altre parole, in ossequio a siffatta interpretazione, i risultati delle captazioni sarebbero oggi utilizzabili in modo traversale per due diversi cataloghi di illeciti penali: da un lato, i delitti per cui è previsto
(62) Così, testualmente, Camon, sub art. 270 c.p.p., cit., 1052. Ancor più rigida è la posizione sostenuta da Ruggieri, Divieti probatori e inutilizzabilità, cit., 109, nota 108, secondo la quale sarebbe necessario che le captazioni foniche costituiscano l’unica fonte di prova disponibile. Convertito il d.l. 161/2019, cit.; Pretti, La metamorfosi delle intercettazioni, ultimo atto?, cit. (56) Cfr. Natali, Sezioni unite e “legge Bonafede”, cit., 1912. (57) Ci si riferisce all’intervento del senatore Grasso, pubblicato in Atti Senato, XVIII leg., Assemblea, seduta 19 febbraio 2020, n. 193, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/Resaula/0/01143667/index.html?part=doc_dc>. (58) In questo senso sembra andare anche la Relazione dell’Ufficio del massimario, cit., 13, ove si afferma che tale locuzione «pare presupporre, ancor più di prima, una valutazione del “peso” del mezzo di prova». (59) In proposito, v. Balducci, Le garanzie nelle intercettazioni, cit., 176 s. (60) A riguardo, v., ad esempio, Cass., sez. II, 25 novembre 2005, n. 2809, in Cass. pen., 2007, 3820. (61) La stessa relatrice alla Camera della novella, on. Sarti, ha legato il requisito de quo all’aspetto oggettivo dell’«accertamento della responsabilità penale» (cfr. il suo intervento pubblicato in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, all’indirizzo <https://www. camera.it/leg18/410?idSeduta=0310&tipo=stenografico>).
420
DIRITTO DI INTERNET N. 3/2020
(63) Cfr. Natali, Sezioni unite e “legge Bonafede”, cit., 1912. (64) V., in proposito, Natali, Sezioni unite e “legge Bonafede”, cit., 1912; Pretti, La metamorfosi delle intercettazioni, ultimo atto?, cit.; Relazione dell’Ufficio del massimario, cit., 13 s. (65) Questa tesi è, ad esempio, sostenuta da Alvino, La circolazione delle intercettazioni, cit., 240 ss.; Amato, Procedimenti diversi, cit., 44; Nappi, Nuova guida telematica al codice di procedura penale, cit., parte II, cap. IX, 37.11.3; Pasta, Le lenti del formalista e i silenzi del legislatore, cit., 24; Pretti, La metamorfosi delle intercettazioni, ultimo atto?, cit.; Spangher, Cosa prevede il dl intercettazioni, trojan ovunque e articolo 15 della Costituzione calpestato, all’indirizzo <https://www.ilriformista.it/cosa-prevede-il-dl-intercettazioni-trojan-ovunque-e-articolo-15-della-costituzione-calpestato-50553/2/>; Id., Dl intercettazioni, cosa prevede il decreto che calpesta la libertà, all’indirizzo <https://www.ilriformista.it/dl-intercettazioni-cosa-prevede-il-decreto-che-calpesta-la-liberta-51973/>; Id., Il dl intercettazioni, all’indirizzo <https://www.giustiziainsieme.it/it/diritto-processo-penale/883-il-dl-intercettazioni-di-giorgio-spangher>; Spangher - Antinucci, Possibili le intercettazioni “a strascico”, cit.; Tabasco, I risultati delle intercettazioni, cit., 23. Cfr. anche le Osservazioni dell’Unione delle Camere penali sulla conversione in legge del d.l. 30 dicembre 2019 n. 161, cit., 3.
SAGGI l’arresto obbligatorio in flagranza e, da un altro lato, i reati che sono di per sé passibili di intercettazione. Dalla lettura dei lavori preparatori della legge n. 7 del 2020 si comprende chiaramente che i conditores, nel momento in cui hanno interpolato la clausola de qua, propendevano proprio per un’esegesi di questo tipo. Per rendersi conto di ciò, è sufficiente ricordare come la relatrice di maggioranza, On. Sarti, nella sua presentazione alla Camera del testo del d.d.l. ha affermato che «la modifica approvata dal Senato estende la possibilità di usare i risultati delle intercettazioni in procedimenti penali diversi: oltre che per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza, tale possibilità è prevista anche per l’accertamento dei reati inclusi nel catalogo di cui all’articolo 266» (66). In sostanza, dai lavori parlamentari ci si rende conto di come l’intento sia stato proprio quello di dilatare, in modo assai significativo, gli ambiti di utilizzo trasversale delle intercettazioni, rispetto alla normativa pre-vigente, per come interpretata in modo garantista dalla sentenza delle sezioni unite n. 51 del 2020 (67). Di talché, si comprende come il riformatore abbia scelto di abbandonare il proposito di codificare all’art. 270, comma 1, c.p.p. i principi di diritto espressi dal massimo collegio, considerando necessario adottare una disciplina volta a facilitare «la vita di coloro i quali decidono» (68) e a «non disperde[re] […] notizie rilevanti per accertare e perseguire reati» (69). È pertanto chiaro che, in questo caso, il legislatore, inten (66) Così, testualmente, la relazione dell’on Sarti, pubblicata in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, all’indirizzo <https://www.camera.it/leg18/410?idSeduta=0310&tipo=stenografico>. Nello stesso senso, cfr. l’intervento del senatore Mirabelli, in Atti Senato, XVIII leg., Aula, res. sten. 20 febbraio 2020, n. 194, all’indirizzo <http:// www.senato.it/japp/bgt/showdoc/18/Resaula/0/1143724/index.html?part=doc_dc-ressten_rs>; dell’on. Fregolent, in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, all’indirizzo <https://www. camera.it/leg18/410?idSeduta=0310&tipo=stenografico> e dell’on. Bordo, in Atti Camera, XVIII leg., Assemblea, seduta 27 febbraio 2020, n. 313, all’indirizzo <https://www.camera.it/leg18/410?idSeduta=0313&tipo=stenografico#sed0313.stenografico.tit00070.sub00020>. Si veda anche il dossier del servizio studi della Camera dei Deputati del 20 febbraio 2020, Modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni, 30, all’indirizzo <https://documenti.camera.it/Leg18/Dossier/ Pdf/D19161A.Pdf>. (67) L’intento era, in buona sostanza, quello di rendere le intercettazioni, ancor più che in passato, anche da questo punto di vista, un’«“idrovora fonica” che tutto indiscriminatamente inghiotte» (l’efficace immagine si deve a Giostra, I mali della libertà di stampa si curano solo con più libertà, in Aa.Vv., Ddl Alfano: se lo conosci lo eviti, Roma, 2009, 102, nonché Id., Su intercettazioni e segreto una disciplina impraticabile, in Il Sole 24 Ore, 20 dicembre 2017, 33). (68) Così, testualmente, l’intervento del senatore D’Alfonso, pubblicato in Atti Senato, XVIII leg., Assemblea, seduta 19 febbraio 2020, n. 193, all’indirizzo <http://www.senato.it/japp/bgt/showdoc/18/Resaula/0/01143667/index.html?part=doc_dc>. (69) Cfr. l’intervento del senatore Pellegrini, pubblicato in Atti Senato, XVIII leg., Assemblea, seduta 19 febbraio 2020, n. 193, all’indirizzo <http://
dendo accontentare alcune componenti della magistratura, ha inteso riformulare la delicata ponderazione, sottostante alla disposizione in esame, in modo persino più sbilanciato verso le esigenze di repressione della criminalità di come era stata strutturata nel periodo della legislazione d’emergenza degli anni Settanta (70). Se, infatti, il d.l. 21 marzo 1978, n. 59 aveva previsto la possibilità di far circolare aliunde le captazioni soltanto per i reati per cui vigesse il mandato di cattura obbligatorio, oggi, invece, il trasferimento sarebbe ammesso pure per tutte le fattispecie intercettabili. In definitiva, alla luce di queste considerazioni, non stupisce affatto che in dottrina vi sia chi ha icasticamente affermato che la legge n. 7 del 2020 avrebbe talmente esteso l’alveo di operatività delle deroghe al divieto d’uso delle captazioni in diversi procedimenti da aver determinato «una sostanziale abrogazione dell’art. 270/1, la cui originaria funzione limitativa v[errebbe] obliquamente elusa» (71). Il punto è, però, che, laddove questa fosse l’unica esegesi possibile del nuovo art. 270, comma 1, c.p.p., esso non solo rischierebbe «di alimentare il ricorso a pratiche investigative pericolose e difficilmente sorvegliabili di pesca “a strascico”» (72), ma darebbe soprattutto vita a un regime di circolazione delle captazioni palesemente confliggente con la Carta fondamentale, per come interpretata dalla Corte costituzionale (73). Si è, del resto,
www.senato.it/japp/bgt/showdoc/18/Resaula/0/01143667/index.html?part=doc_dc>. (70) Per un’analoga considerazione cfr. anche le Osservazioni dell’Unione delle Camere penali sulla conversione in legge del d.l. 30 dicembre 2019 n. 161, cit., 4. (71) Cfr. Nappi, Nuova guida telematica al codice di procedura penale, cit., parte II, cap. IX, 37.11.3. (72) V. Natali, Sezioni unite e “legge Bonafede”, cit., 1914. Già sotto la vigenza del codice abrogato Grevi, La nuova disciplina delle intercettazioni telefoniche, cit, 67 s. aveva messo in guardia contro gli abusi teoricamente configurabili tramite l’uso “obliquo” delle captazioni. Egli, infatti, riportava pure il timore, manifestatosi nel corso dei lavori parlamentari, dell’instaurazione di «un finto processo magari a carico di una persona che poi finirà tranquillamente assolta, per potere di fatto indagare su un’altra persona, che rimane del tutto all’oscuro dell’indagine» (ibidem, 68, nota 86). In senso analogo, cfr., di recente, Bronzo, Intercettazione ambientale tramite captatore informatico, cit., 259. A ciò si potrebbe ulteriormente aggiungere, da una diversa prospettiva, che una dilatazione eccessiva delle possibilità di uso trasversale delle captazioni è idonea a favorire «una certa pigrizia investigativa perché, piuttosto che dover raccogliere faticosamente e con dispendio di tempo e di risorse materiali e mentali ogni elemento utile per le indagini, è molto più comodo richiedere un’intercettazione, gettando una rete nella quale si spera che qualcosa resti impigliato» (in questo senso, cfr. Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi, cit.). (73) In questo senso, v. Alvino, La circolazione delle intercettazioni, cit., 243; Filippi, Intercettazioni: habemus legem!, cit., 462; Id., Intercettazioni: finalmente una legge!, cit. Contra, invece, Pasta, Le lenti del formalista e i silenzi del legislatore, cit., 17 s., il quale, però, afferma di non condividere l’intera giurisprudenza della Consulta in materia.
DIRITTO DI INTERNET N. 3/2020
421
SAGGI avuto già modo di ricordare (74) che la Consulta, nella fondamentale sentenza n. 63 del 1994, ha già statuito che una norma che consentisse il trasferimento delle intercettazioni in procedimenti diversi per tutti i reati di cui all’art. 266, comma 1, c.p.p. sarebbe «di per sé contraria a Costituzione», in quanto «apertamente contrastante con le garanzie poste dall’art. 15 […] a tutela della libertà e della segretezza delle comunicazioni, dal momento che trasformerebbe l’intervento del giudice, richiesto […] per l’irrogazione in concreto di restrizioni alla predetta libertà, in “un’inammissibile autorizzazione in bianco” a disporre le intercettazioni» (75). Un tanto porta a dire che l’odierna modifica dell’art. 270, comma 1, c.p.p., se così intesa, cadrebbe, assai probabilmente, sotto la scure della Consulta, dato che la stessa darebbe vita a una norma analoga a quella già bocciata sul nascere dalla Corte nei primi anni Novanta. Parte degli interpreti non si è, però, voluta arrendere a quest’esito e ha già proposto una lettura costituzionalmente orientata della nuova disposizione (76). Come anticipato, la chiave di una possibile esegesi alternativa dell’art. 270, comma 1, c.p.p. è stata individuata nella congiunzione “e”, alla quale è stato attribuito un significato del tutto diverso. Secondo alcuni, infatti, la stessa non assumerebbe qui un valore aggiuntivo, ma, invece, «condizionale (e dei=purché si tratti di)» (77). Non sfuggirà che, se letta in questo modo, la nuova norma porterebbe a ritenere che il trasferimento delle intercettazioni potrebbe avvenire soltanto laddove il crimine della regiudicanda ad quem risulti ricompreso, cumulativamente, sia tra i reati per cui è previsto l’arresto in flagranza, sia tra quelli di cui all’art. 266, comma 1, c.p.p. È, peraltro, palese che l’esito a cui porta siffatta esegesi è del tutto speculare rispetto alla prima. Mentre, infatti, se si attribuisce alla congiunzione “e” valore aggiuntivo il rinvio ai reati di cui all’art. 266, comma 1, c.p.p. finisce per estendere radicalmente l’area della circolazione delle captazioni in altri procedimenti, al contrario, laddove la stessa venga letta in senso condizionale, l’interpolazione porta a ridurre le ipotesi di uso “obliquo” delle bobine rispetto al passato. È d’uopo chiarire che questa seconda lettura presenta vari vantaggi, che la rendono di certo preferibile da un (74) Vedi supra, par. 1. (75) Le citazioni testuali sono tratte da Corte cost., 10 febbraio 1994, n. 63, cit. (76) Cfr., in proposito, in particolare Filippi, Intercettazioni: habemus legem!, cit., 462; Id., Intercettazioni: finalmente una legge!, cit.; Natali, Sezioni unite e “legge Bonafede”, cit., 1912 s. Merita rilevare che lo stesso Ufficio del massimario (Relazione dell’Ufficio del massimario, cit., 14) ha esplicitamente ammesso la plausibilità di una tale esegesi testuale dell’art. 270, comma 1, c.p.p. (77) V. Natali, Sezioni unite e “legge Bonafede”, cit., 1912.
422
DIRITTO DI INTERNET N. 3/2020
punto di vista valoriale. Essa, infatti, non costituisce soltanto l’unica interpretazione in grado di rendere compatibile con la giurisprudenza costituzionale la nuova norma (78), ma è anche idonea a risolvere alcune aporie a cui dava vita la vecchia versione dell’art. 270 c.p.p., dovute al fatto che il legislatore, nel corso del tempo, ha inserito nel novero dei reati per cui è previsto l’arresto obbligatorio in flagranza anche fattispecie che, di per sé, non sarebbero ordinariamente intercettabili (79) (si pensi, solo per fare due esempi, ai delitti previsti agli artt. 497-bis e 589-bis c.p.). Ci si riferisce, più di preciso, al fatto che la novella, se così intesa, avrebbe attuato anche per la categoria dei “diversi procedimenti” il principio di diritto espresso dal massimo Collegio nella sentenza n. 51 del 2020, secondo cui l’uso trasversale di una captazione sarebbe consentito soltanto laddove il reato ad quem rientri tra quelli per cui può essere attivato il mezzo di ricerca della prova in esame. Mentre, infatti, la versione originaria dell’art. 270 c.p.p., derogando in via generale al divieto di trasferimento aliunde delle captazioni per l’intera categoria dei reati per cui è previsto l’arresto in flagranza, avrebbe, a primo acchito, potuto far ritenere che la circolazione in un diverso procedimento sarebbe potuta avvenire anche per quei delitti rientranti in tale categoria, che, però, non rispettano i limiti di cui all’art. 266, comma 1, c.p.p., la nuova norma, così letta, riuscirebbe a eliminare una volta per tutta tale stortura. Quest’ultima, invero, imponendo per l’uso delle captazioni che il reato del procedimento di arrivo appartenga, al contempo, sia a quelli per cui è previsto l’arresto in flagranza, sia a quelli che comunque sono di per sé intercettabili, sarebbe infatti idonea a “depurare” il primo catalogo dalle fattispecie non ricomprese nell’art. 266, comma 1, c.p.p. Sicché, se letto in questo modo, il novum normativo risulterebbe idoneo a determinare un significativo passo avanti rispetto alla disciplina pre-vigente (80). (78) Al riguardo, v. Filippi, Intercettazioni: habemus legem!, cit., 462. (79) In proposito, v. Spangher - Antinucci, Possibili le intercettazioni “a strascico”, cit. (80) Non sfuggirà, peraltro, che, laddove si optasse per la prima esegesi possibile dell’art. 270, comma 1, c.p.p. (quella “aggiuntiva”), si arriverebbe a risultati del tutto opposti. Infatti, posto che in tal caso sarebbe sufficiente per il trasferimento aliunde che il reato ad quem rientri anche solo tra quelli che prevedono l’arresto in flagranza, l’effetto sarebbe quello per cui sarebbe possibile utilizzare in modo “obliquo” le captazioni pure per le fattispecie rientranti in tale categoria che, di per sé, non sarebbero intercettabili. Sicché, stando così le cose, la clausola di rinvio ai reati che prevedono l’arresto in flagranza non svolgerebbe più una funzione restrittiva, ma estensiva rispetto alle fattispecie per cui è ammessa la circolazione delle captazioni. È evidente che un tanto farebbe sorgere un ulteriore profilo di illegittimità costituzionale dell’art. 270, comma 1, c.p.p., dal momento che lo stesso porterebbe ad aggirare i limiti generali stabiliti all’art. 266 per poter attivare il mezzo di ricerca della prova in esame, in palese spregio all’art. 15 Cost.
SAGGI Il vero problema è che questa interpretazione, pur risultando certamente apprezzabile da un punto di vista valoriale, pare determinare una significativa forzatura sul piano della littera legis (81). Nel linguaggio corrente è, infatti, alquanto difficile attribuire alla congiunzione “e” valore condizionale, mentre è indubbio che il primo significato della stessa sia proprio quello coordinativo/ aggiuntivo (e ciò, in particolare, in un caso come quello in esame in cui – come accennato – la maggioranza voleva palesemente utilizzare il vocabolo in questione nel suo senso più comune). È, peraltro, chiaro che, ove si concordasse circa l’impossibilità testuale di attribuire alla particella de qua il significato di “purché si tratti”, l’unica strada per uscire dall’impasse sarebbe quella di rivolgersi alla Consulta. In caso di impraticabilità di un’esegesi costituzionalmente orientata, non potrebbe che spettare al giudice delle leggi (e non all’interprete comune) il compito di fissare nuovamente un corretto equilibrio tra valori costituzionali contrapposti, oggi del tutto incrinato dai riformatori. A ogni modo, non è difficile preconizzare il sorgere di futuri contrasti pretori sul punto. L’esperienza trentennale del codice Vassalli insegna che parte della magistratura non ha mai visto di buon occhio le esegesi garantiste dell’art. 270 c.p.p. (82). Un tanto porta a dire che è assai probabile che i sostenitori delle tesi securitarie cercheranno oggi – e avranno forti argomenti testuali, nonché legati alla volontà dei riformatori, per farlo – di parteggiare per la prima interpretazione della previsione in esame, che attribuisce alla particella “e” valore aggiuntivo (83). Per contro, è plausibile che la parte della giurisprudenza più sensibile ai valori espressi dalla Carta fondamentale tenterà di intraprendere la strada dell’esegesi costituzionalmente orientata del nuovo art. 270, comma 1, c.p.p., la quale, però, è quantomeno assai in salita (se non del tutto impraticabile). Sicché è probabile che, alla fine, dovrà essere proprio il giudice delle leggi a intervenire per ristabilire la legalità costituzionale. Si tratta, in ogni caso, di una prospettiva davvero desolante.
4. Il nuovo comma 1-bis in tema di captatore informatico
I problemi esegetici, sollevati dalla riforma in esame, non si limitano, però, al tema della circolazione delle intercettazioni ottenute con mezzi ordinari. Anche il nuovo comma 1-bis dell’art. 270 in materia di captazio-
(81) Di questa opinione pare essere anche Alvino, La circolazione delle intercettazioni, cit., 244. (82) Vedi, supra, par. 1. (83) Ed è proprio in quest’ottica che pare collocarsi l’esegesi di Pretti, La metamorfosi delle intercettazioni, ultimo atto?, cit.
ni acquisite tramite trojan rappresenta, infatti, un nodo davvero arduo da sciogliere. Come si è avuto modo di rilevare, il legislatore del 2020, nell’alveo della ristrutturazione generale della disciplina codicistica concernente il captatore informatico, ha scelto di riformulare del tutto l’art. 270, comma 1-bis, c.p.p., rispetto alla versione originaria dello stesso, interpolata dalla “riforma Orlando”. Nella sua veste aggiornata, tale disposizione oggi stabilisce che «fermo restando quanto previsto dal comma 1, i risultati delle intercettazioni tra presenti operate con captatore informatico su dispositivo elettronico portatile possono essere utilizzati anche per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione qualora risultino indispensabili per l’accertamento dei delitti indicati dall’articolo 266, comma 2-bis» (ossia i delitti di cui all’art. 51, commi 3-bis e 3-quater c.p.p. e quelli dei pubblici ufficiali e degli incaricati di pubblico servizio contro la pubblica amministrazione, che prevedano la pena della reclusione non inferiore nel massimo a cinque anni). Da un punto di vista testuale, le novità sul punto sono, pertanto, sostanzialmente tre, ossia: a) la formula di rinvio al comma 1 in materia di intercettazioni ordinarie, prima inesistente, la quale pare essere stata maldestramente introdotta dai conditores per meglio regolare i rapporti tra i vari commi della medesima norma; b) «l’affermazione in positivo» e non più in negativo «della regola dell’utilizzabilità» (84); c) il riferimento a una diversa categoria di gravi delitti che permettono l’uso trasversale delle captazioni ottenute mediante trojan (non più i reati per cui è previsto l’arresto obbligatorio in flagranza, ma quelli di cui all’art. 266, comma 2-bis, c.p.p. (85)). L’oscurità di tale previsione è stata rilevata, a più voci, già dai primi commentatori del d.l. 161 del 2019, ossia dell’atto che – come si è visto – ha strutturato l’impian-
(84) Cfr. Parere del Consiglio Superiore della Magistratura, cit., 4. Pare, peraltro, utile ricordare che anche la versione del 226-quater vigente dopo le modifiche approvate nel 1978 era formulata in positivo, sicché non si tratta di una tecnica normativa inedita. A ben vedere, questo ribaltamento della formulazione della norma non muta comunque la situazione: anche nella versione attuale dell’art. 270, comma 1-bis, c.p.p. l’uso “obliquo” è ammesso solo a patto che il reato diverso rientri in un elenco di gravi delitti. Di conseguenza, laddove non si ricada nella fattispecie di cui all’art. 266, comma 2-bis, c.p.p., il trasferimento è vietato. Si è, pertanto, unicamente passati da un divieto esplicito e uno implicito (in questi termini si era espresso, sotto la vigenza del vecchio codice, con riguardo alla modifica dell’art. 226-quater c.p.p. del 1978, Illuminati, La disciplina processuale delle intercettazioni, cit., 164). (85) Per una secca critica di tale scelta di politica normativa, cfr. Scalfati, Intercettazioni: spirito autoritario, propaganda e norme inutili, in Arch. pen. web, 2020, 1, 2, all’indirizzo <http://www.archiviopenale.it/File/ DownloadArticolo?codice=fcefd00a-c2ad-4d73-ae73-098cc589cac6&idarticolo=21774>.
DIRITTO DI INTERNET N. 3/2020
423
SAGGI to di fondo della nuova versione della regola (86). Purtroppo, però, il legislatore non ha dato peso a tali critiche, limitandosi ad apportare in sede di conversione correzioni minimali (come l’inserimento del parametro dell’“indispensabilità” (87)), assolutamente incapaci di rendere la disposizione di più piana interpretazione. In sintesi, il vero punctum dolens della stessa sta nel fatto che risulta dubbio se lo speciale regime previsto dall’art. 270, comma 1-bis, c.p.p. si riferisca unicamente al trasferimento delle intercettazioni ottenute tramite captatore all’interno del medesimo procedimento, oppure anche in procedimenti diversi (88). Sul punto hanno già iniziato a svilupparsi due tesi del tutto opposte, che si differenziano soprattutto a seconda del significato che si ritenga opportuno attribuire alla clausola di rinvio al primo comma dell’art. 270 di cui all’incipit della nuova regola, la quale, al posto di semplificare il quadro esegetico, l’ha reso ancor più intricato. Secondo una prima lettura, la locuzione «fermo restando […]» starebbe a significare che il legislatore avrebbe stabilito «in linea generale nel comma 1 dell’art. 270 il regime di utilizzabilità di ogni forma di intercettazione (ivi compresa quella disposta con il trojan horse) [in procedimenti diversi], laddove la successiva disposizione racchiusa nel comma 1-bis [sarebbe] volta a rendere utilizzabili, nell’ambito dello stesso procedimento, i risultati delle intercettazioni operate fra presenti con lo strumento del captatore informatico per la prova di reati “diversi” da quelli oggetto del relativo decreto di autorizzazione, purché […] ricompresi nei limiti fissati dall’art. 266, co. 2-bis, c.p.p.» (89). In favore di tale opzione esegetica militerebbero due argomenti. Da un lato, il fatto che nel testo dell’art. 270, comma 1-bis, si utilizzi il termine “reato” e non “procedi-
(86) Si veda, in particolare, l’ampia analisi critica compiuta nel Parere del Consiglio Superiore della Magistratura, cit., 4, nonché Amato, Trojan applicabile ai reati degli incaricati di pubblico servizio, in Guida dir., 2020, 6, 68 ss. (87) Come si è già avuto modo di rilevare (vedi supra, par. 2), il legislatore – in modo assai criticabile – non ha, per contro, inserito all’interno dell’art. 270, comma 1-bis, c.p.p. alcun riferimento espresso al requisito della “rilevanza”, introdotto al primo comma. Si tratta di una sfasatura, frutto di un difetto di coordinamento, che determina il risultato paradossale per cui, a questo proposito, la disciplina del mezzo più invasivo (il trojan) risulta meno rigida di quella delle intercettazioni ordinarie. Sicché, delle due l’una: o si ritiene colmabile tale lacuna in via esegetica (tramite lo strumento dell’interpretazione analogica), oppure si viene a delineare un profilo di contrasto tra l’art. 270, comma 1-bis, c.p.p. con il principio di ragionevolezza di cui all’art. 3 Cost., nella parte in cui non contempla il presupposto in questione anche per il captatore informatico. (88) Cfr., in proposito, le Osservazioni dell’Unione delle Camere penali sulla conversione in legge del d.l. 30 dicembre 2019 n. 161, cit., 4, nonché Spangher - Antinucci, Possibili le intercettazioni “a strascico”, cit. (89) In questo senso, v. De amicis, Il regime della “circolazione”, cit., 21 s.
424
DIRITTO DI INTERNET N. 3/2020
mento” diverso, ossia una locuzione che, anche a detta delle sezioni unite 51/2020, non può essere considerata sinonimica rispetto alla seconda. Da un altro lato, la circostanza per cui l’art. 270, comma 2, c.p.p. – il quale, com’è noto – regola la procedura di acquisizione dei risultati delle captazioni nel procedimento ad quem – continui a richiamare, anche dopo la “riforma Bonafede”, «la sola disposizione del primo comma e non quella, di nuovo conio, contenuta nel comma 1-bis, con la conseguente possibilità di utilizzare i risultati delle relative intercettazioni solo nell’ambito» (90) della medesima regiudicanda. Il problema è che tale opzione esegetica, specie dopo la modifica del primo comma dell’art. 270 c.p.p., è idonea a determinare effetti pratici manifestamente irragionevoli. Non sfuggirà, infatti, che, se si ritenesse che l’art. 270, comma 1, c.p.p. andasse a regolare pure la circolazione delle intercettazioni ottenute mediante trojan, il risultato sarebbe quello per cui tali captazioni potrebbero essere utilizzate in procedimenti diversi per un novero di reati più ampio di quelli per cui sarebbe, invece, consentito il trasferimento all’interno della medesima regiudicanda (ossia solo quelli di cui all’art. 266, comma 2-bis, c.p.p.). E ciò, ovviamente, perché il primo comma dell’art. 270 c.p.p. rinvia a molti reati non ricompresi nel ristretto catalogo di cui all’art. 266, comma 2-bis, c.p.p. (91). Si tratta – è palese – di un esito del tutto irrazionale: non ha, infatti, senso che il trasferimento delle captazioni in procedimenti diversi abbia un regime nel complesso più favorevole di quella endoprocedimentale. Un tanto porta a dire che, ove stessero per forza così le cose, il nuovo art. 270 c.p.p. si porrebbe, anche sotto questo aspetto, oltre il filo del rasoio della legittimità costituzionale, per contrasto con il principio di ragionevolezza di cui all’art. 3 Cost. Ed è proprio in virtù degli esiti irrazionali che determina siffatta prima lettura del novum normativo che pare preferibile una seconda esegesi dello stesso, secondo la quale l’art. 270, comma 1-bis, c.p.p. detterebbe esaustivamente la disciplina per il trasferimento dei risultati delle intercettazioni ottenute tramite virus informatico, sia all’interno della medesima regiudicanda, sia in procedimenti diversi (92).
(90) Così, testualmente, De amicis, Il regime della “circolazione”, cit., 21. (91) È ovvio che la distanza tra i due cataloghi aumenta ancor di più laddove l’art. 270, comma 1, c.p.p. sia inteso nel senso aggiuntivo, delineato nel paragrafo precedente. (92) Questa tesi è sostenuta da Amato, Procedimenti diversi, cit., 45, che l’ha trasfusa pure nelle Linee guida sulla novella in esame, emanate dalla Procura distrettuale della Repubblica di Bologna, all’indirizzo <http:// www.procura.bologna.giustizia.it/allegatinews/A_28920.pdf>. Anche la Relazione dell’Ufficio del massimario, cit., 15 s. pare orientata verso tale soluzione.
SAGGI La chiave di questa seconda interpretazione sta nell’attribuire un altro significato alla clausola di rinvio con cui si apre la nuova regola. Ebbene, come ha affermato il CSM nel suo parere consultivo sul d.l. 161 del 2019, tale incipit pare poter essere letto pure quale previsione volta semplicemente a fissare un rapporto tra le ipotesi di cui al comma 1 e 1-bis «in termini di norma generale-norma speciale» (93). Ove si optasse per questa esegesi, il risultato è che vi sarebbe un regime di utilizzabilità delle captazioni ottenute mediante virus informatico uniforme: in ogni caso in cui emergesse dall’intercettazione compiuta tramite siffatto strumento un “reato diverso” da quello per cui la stessa è stata disposta, i risultati sarebbero utilizzabili soltanto laddove indispensabili per l’accertamento di uno dei gravi delitti di cui all’art. 266, comma 2-bis, c.p.p.; e ciò – merita ribadirlo – indipendentemente dal fatto che la nuova fattispecie sia collocabile all’interno della medesima regiudicanda, oppure di un procedimento del tutto eterogeneo (94). In quest’ottica, sembra potersi, oltretutto, comprendere il perché il legislatore abbia, nel contempo, rinviato al comma 1 dell’art. 270 e utilizzato la locuzione «anche per la prova di reati diversi», al posto di quella classica “procedimenti diversi”: la scelta si spiegherebbe, infatti, proprio in virtù del proposito di tener fermo per le intercettazioni ambientali ordinarie il regime generale (95) e, nel contempo, dettarne uno ad hoc soltanto per il trojan, operante «anche» – ma non solo – per il trasferimento endoprocedimentale delle captazioni digitali. Ma vi è di più. Va preso atto che in favore di questa seconda lettura depongono, sia argomenti di carattere sistematico, «e, precisamente, la collocazione della norma all’interno dell’art. 270 c.p.p., intitolato “Utilizzazione in altri procedimenti”» (96), sia, soprattutto, alla voluntas legis. Dai lavori preparatori della novella in esame si de-
(93) Cfr. Parere del Consiglio Superiore della Magistratura, cit., 5. (94) Del resto, come acutamente afferma Orlandi, Usi investigativi dei cosiddetti captatori informatici, cit., 549, anche nel caso in cui vi sia la trasmigrazione della prova in una regiudicanda diversa il procedimento ad quem ha «necessariamente ad oggetto un reato diverso da quello in via di accertamento nel processo a quo». Sicché, la seconda esegesi ha il pregio di non restringere arbitrariamente il significato letterale della locuzione “reato diverso”, adattandosi, in modo armonico, allo stesso. (95) Una tesi diversa è sostenuta nella Relazione dell’Ufficio del massimario, cit., 15, dove si stabilisce che la clausola di rinvio sarebbe stata inserita onde chiarire che pure «ai risultati delle intercettazioni tra presenti compiute mediante trojan si applica il divieto di utilizzazione probatoria per reati oggetto di un “diverso procedimento”». Questa lettura non convince, posto che, come accennato, anche dall’art. 270, comma 1-bis, c.p.p. pare desumibile un autonomo divieto probatorio, semplicemente formulato in maniera implicita e non esplicita. (96) La citazione è tratta dal Parere del Consiglio Superiore della Magistratura, cit., 4.
sume, infatti, chiaramente, tanto che il riformatore ha pensato all’art. 270, comma 1-bis, c.p.p. quale norma operante pure in procedimenti diversi (97) (e non solo all’interno della stessa regiudicanda), quanto (soprattutto) che lo stesso non ha assolutamente voluto che la nuova disciplina di cui all’art. 270, comma 1, c.p.p. potesse applicarsi anche al captatore informatico (98). Sicché, alla luce di quella che pare essere la chiara volontà del legislatore, sembra potersi arrivare alla conclusione per cui il fatto che il comma 2 dell’art. 270 non richiami il comma 1-bis della medesima disposizione non sia, in realtà, il frutto di una scelta oculata, ma di un mero errore di coordinamento dei conditores (a cui è facile, peraltro, porre rimedio tramite l’esegesi analogica). La scelta di prevedere siffatto regime speciale per la circolazione delle captazioni ottenute mediante trojan per altri reati pare che, nell’intenzione del legislatore, si spieghi nel proposito di dettare «un regime più rigoroso rispetto a quello generale di cui all’art. 270, comma 1, [c.p.p.], la cui ragionevolezza risiederebbe nella peculiare portata intrusiva nella libertà di comunicare del mezzo tecnico impiegato» (99). In altre parole, data la natura maggiormente intrusiva del trojan, i conditores hanno pensato di limitare la possibilità di trasferire aliunde i risultati delle captazioni, ottenute mediante siffatto mezzo tecnico, rispetto a quanto accade per le normali intercettazioni ambientali. Ove le cose stessero sempre così, nulla quaestio. Il punto è che, laddove si interpretasse la nuova versione dell’art. 270, comma 1 nel senso costituzionalmente orientato sopra delineato (100) (ossia quale norma che consentirebbe il trasferimento delle captazioni in diversi procedimenti soltanto per le fattispecie che rientrino, nel contempo, sia nel catalogo dei reati per cui è previsto l’arresto in flagranza, sia in quelli di cui all’art. 266, comma 1, c.p.p.), si verrebbe a determinare una criticabile aporia per i reati contro la pubblica ammi-
(97) Indicazioni in questo senso si ricavano dalla Relazione tecnica di accompagnamento al d.d.l. di conversione del d.l. n. 161/19, all’indirizzo <http://www.senato.it/service/PDF/PDFServer/BGT/01141231. pdf>, 10, nonché dalla relazione dell’on Sarti, pubblicata in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, cit., la quale utilizza con riguardo all’art. 270, comma 1-bis, c.p.p. la locuzione “procedimenti diversi”. (98) In proposito, v. gli interventi degli on. Bordo, in Atti Camera, XVIII leg., Assemblea, seduta 27 febbraio 2020, n. 313, cit. e Fregolent, in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, cit., nonché quello del senatore Mirabelli, in Atti Senato, XVIII leg., Aula, res. sten. 20 febbraio 2020, n. 194, cit. (99) La citazione è tratta dalla Relazione dell’Ufficio del massimario, cit., 15. Si veda anche l’intervento del Sottosegretario Giorgis, in Atti Camera, XVIII leg., Assemblea, seduta 27 febbraio 2020, n. 313, all’indirizzo <https://www.camera.it/leg18/410?idSeduta=0313&tipo=stenografico>. (100) Vedi supra, par. 3.
DIRITTO DI INTERNET N. 3/2020
425
SAGGI nistrazione, «non essendo per la quasi totalità di essi (fa eccezione, ad esempio, la corruzione in atti giudiziari aggravata) previsto l’arresto obbligatorio in flagranza» (101). Ci si riferisce, più precisamente, al fatto che – se il nuovo art. 270, comma 1, c.p.p. venisse inteso così – per questa categoria di reati vi sarebbe un regime di trasferimento delle captazioni ottenute tramite trojan più favorevole di quello contemplato per le intercettazioni ordinarie; e ciò in quanto essi sono ricompresi nei reati di cui all’art. 266, comma 2-bis c.p.p., rientrando, pertanto, tra quelli per cui l’art. 270, comma 1-bis, c.p.p. ammette la circolazione, ma non, per l’appunto fra le fattispecie per cui è previsto l’arresto obbligatorio in flagranza. In altre parole, ove le cose stessero in tal modo, si arriverebbe al risultato paradossale per cui per molti reati contro la pubblica amministrazione la circolazione delle captazione in diversi procedimenti, ottenuta mediante intercettazioni ordinarie, non potrebbe avvenire, visto che essi non rientrano tra quelli per cui è previsto l’arresto in flagranza, mentre, al contrario, se la stessa fosse compiuta mediante il più intrusivo strumento del trojan, i risultati sarebbero, invece, utilizzabili, in virtù del richiamo dell’art. 270, comma 1-bis, c.p.p. ai reati di cui all’art. 266, comma 2-bis c.p.p. Come si è giustamente rilevato, «un tale disallineamento del regime di utilizzabilità delle intercettazioni in altro procedimento per la medesima tipologia di reati […] risult[a] del tutto ingiustificato» (102). Non è, infatti, ragionevole che uno strumento che è sempre trattato con una disciplina più rigida, in virtù della sua maggiore insidiosità, in questo caso preveda una normativa meno rigorosa. In definitiva, i plurimi problemi esegetici sollevati dal nuovo art. 270, comma 1-bis, c.p.p. forniscono la riprova ultima di come la tecnica del rinvio a istituti estranei alla tematica delle intercettazioni (e, in particolare, ai reati per cui è previsto l’arresto obbligatorio in flagranza) risulti quantomai delicata, specie laddove – come attualmente accade – il legislatore pecchi così radicalmente di visione sistematica (103). Stando così le cose, i conditores avrebbero certamente fatto meglio a ristrutturare del tutto le ipotesi che consentono di utilizzare i risultati delle captazioni per reati/procedimenti diversi, dando vita a una disciplina coerente a seconda dell’intrusività del singolo mezzo di intercettazione utilizzato. Alla luce di tali considerazioni non è, infatti, difficile preconizzare che pure il nuovo art. 270, comma 1-bis, c.p.p. darà luogo ad accesi contrasti giurisprudenziali, che richiederanno, per essere risolti, un dispendio molto più
5. L’art. 270, comma 2, c.p.p.: un criticabile “ritorno al passato”
In ultima analisi, siano consentite alcune considerazioni con riguardo all’art. 270, comma 2, c.p.p., il quale, come si è accennato, disciplina la procedura d’acquisizione delle captazioni nel procedimento ad quem. A tal proposito, a quanto si è già detto nel paragrafo precedente, pare opportuno aggiungere un’ulteriore riflessione critica, legata a un ritocco, che il legislatore del 2020 ha apportato in tale parte della disposizione, rispetto a quanto aveva previsto la “riforma Orlando”. Andiamo, però, con ordine. Com’è noto, la versione originaria dell’art. 270, comma 2, c.p.p. imponeva di depositare presso l’autorità competente per il diverso procedimento solo i verbali e le registrazioni delle intercettazioni, mentre non faceva alcun riferimento esplicito ai decreti che avessero disposto, convalidato o prorogato le captazioni (105). Orbene, nonostante la dottrina maggioritaria ritenesse che gli atti da ultimo citati dovessero essere comunque ivi introdotti (106), la giurisprudenza si è per lo più dimostrata di contrario avviso. In particolare, il massimo collegio in un arresto del 2004 ha affermato che, ai fini dell’utilizzabilità delle intercettazioni in un procedimento diverso, non sarebbe stato necessario il deposito presso l’autorità competente per il diverso procedimento anche
(104) Merita, del resto, rilevare che la nuova norma è affetta anche da ulteriori punti oscuri rispetto a quelli su cui ci si è soffermati in questa sede. Si pensi, ad esempio, al fatto che neppure nella versione rinnovata dell’art. 270, comma 1-bis, c.p.p. è stato introdotto un richiamo espresso all’art. 12 c.p.p., il che potrebbe produrre nuovamente contrasti pretori circa la necessità che i “reati diversi” siano o meno connessi a quello per cui la captazione è autorizzata. Peraltro, sulla base di un’esegesi costituzionalmente orientata della previsione de qua, sembra che a tale quesito sia necessario dare una risposta positiva e che i principi di diritto espressi dal massimo collegio nella sentenza n. 51 del 2020 per l’art. 270, comma 1, c.p.p. debbano valere tuttora anche per il comma 1-bis della medesima disposizione in materia di trojan. In questo senso, v. Amato, Trojan applicabile ai reati, cit., 70. Per di più, la novella non ha neppure chiarito se nella nozione di “reato diverso” rientri o meno anche la mera riqualificazione giuridica del fatto, non risolvendo, pertanto, un altro aspetto su cui gli interpreti sono divisi. La tesi affermativa è, ad esempio, sostenuta da v. Bronzo, Intercettazione ambientale tramite captatore informatico, cit., 261 s. e Orlandi, Usi investigativi dei cosiddetti captatori informatici, cit., 549, mentre quella negativa da Cassibba, La circolazione delle intercettazioni, cit., 172.
(102) Cfr. Parere del Consiglio Superiore della Magistratura, cit., 5.
(105) Al riguardo, v. già Fumu, sub art. 270 c.p.p., in Chiavario (coord. da), Commento al nuovo codice di procedura penale, Torino, 1990, II, 799 e Camon, Le intercettazioni nel processo penale, cit., 296 s.
(103) Si vedano, a riguardo, Spangher - Antinucci, Possibili le intercettazioni “a strascico”, cit.
(106) Si veda, in proposito, Camon, sub art. 270 c.p.p., cit., 1052 s., a cui si rinvia per i plurimi richiami dottrinali.
(101) V. Parere del Consiglio Superiore della Magistratura, cit., 6.
426
ampio di risorse pubbliche di quelle che sarebbe stato necessario impiegare, fin dal principio, per adottare una novella priva di difetti così evidenti (104).
DIRITTO DI INTERNET N. 3/2020
SAGGI dei decreti autorizzativi delle intercettazioni (107). Non è, peraltro, un mistero che la dottrina maggioritaria abbia fortemente criticato tale pronuncia (108), essendovi persino chi ha affermato che la stessa determinasse una compressione tale dei diritti della difesa da dar luogo a «un evidente profilo di illegittimità costituzionale, per contrasto con gli art. 24, comma 2 e 111, comma 3 Cost.» (109). Ciò premesso, va ricordato che a questo difetto della versione originaria della disposizione in esame aveva posto rimedio il d.lgs. n. 216 del 2017 (110). Tale riforma aveva, infatti, inserito nell’art. 270, comma 2, secondo periodo, c.p.p. un richiamo anche all’art. 268-bis c.p.p., laddove si fissava testualmente l’obbligo di depositare pure i «decreti che hanno disposto, autorizzato, convalidato o prorogato l’intercettazione». Sicché, per effetto di tale rinvio, ai fini dell’utilizzabilità delle captazioni eseguite in un altro procedimento sarebbe diventato finalmente necessario depositare presso l’autorità competente «non solo i verbali e le registrazioni, ma anche i decreti autorizzativi» (111). Le implicazioni benefiche della novella del 2017 sulla rilevabilità dei vizi genetici delle intercettazioni nel “procedimento diverso” erano, pertanto, assai significative: il legislatore aveva, infatti, così «“approntato un idoneo congegno normativo tale da mettere le parti in condizioni di valutare con consapevolezza la legittimità del decreto”, allineando i canoni del controllo del procedimento ad quem a quelli già previsti nel procedimento a quo» (112). Per di più, in questo modo lo stesso giudice sarebbe stato «messo in grado di
(107) Il rinvio va a Cass., sez. un., 17 novembre 2004, n. 45189, in Dir. giust., 2004, 46, 45. In merito a tale pronuncia cfr. Mancuso, L’art. 270 c.p.p.: circolazione della prova e “memoria della sua genesi”, in Riv. it. dir. proc. pen., 2005, 1204 ss. La giurisprudenza successiva è allineata in termini: cfr., ad esempio, Cass., sez. V, 17 luglio 2015, n. 1804, in Dir. giust., 19 gennaio 2016. (108) Sul punto v. Camon, sub art. 270 c.p.p., cit., 1053, nonché, di recente, Tabasco, I risultati delle intercettazioni, cit., 26 s.
valutare l’utilizzabilità della prova, anche in mancanza della produzione dei decreti a cura della parte» (113). Sennonché, questa significativa innovazione non ha mai visto la luce. Se, infatti, in un primo momento i plurimi rinvii normativi all’entrata in vigore del d.lgs. 216 del 2017 l’avevano soltanto congelata (114), la novella in commento ne ha determinato la definitiva eliminazione. Difatti, come si avuto modo di anticipare (115), il riformatore ha oggi eliminato del tutto dall’art. 270, comma 2, c.p.p. ogni rinvio agli articoli inseriti dal d.lgs. 216 del 2017 (e pertanto anche all’art. 268-bis c.p.p.) e ha ripristinato l’originario richiamo all’art. 268, commi 6, 7 e 8 c.p.p. Il problema sta, però, nel fatto che quest’ultimi, anche nella loro nuova versione rimodellata dal d.l. 161 del 2019 e dalla l. di conversione n. 7 del 2020, non contengono alcun riferimento espresso alla tematica del deposito dei decreti autorizzativi delle intercettazioni (116); materia che è, invece, disciplinata (come accadeva già in precedenza) dall’art. 268, comma 4, c.p.p. Sicché, ora che l’art. 270, comma 2, c.p.p. ha assunto una formulazione analoga a quella originaria, non è difficile preconizzare che la giurisprudenza avrà gioco facile nel ribadire, anche nel vigore della nuova disciplina, i principi di diritto già enunciati in passato. A fronte di ciò, non vi sono dubbi nell’affermare che la novella in commento ha determinato sul punto un significativo passo indietro rispetto a quanto era stato previsto dal d.lgs. 216 del 2017. I conditores, infatti, si sono fatti travolgere anche a questo proposito dalla loro “furia iconoclasta” nei confronti della “riforma Orlando” (117), eliminando in modo meccanico – probabilmente senza averne neppure contezza – pure quanto di buono la stessa aveva fatto. Si è così persa l’ennesima occasione per risolvere, una volta per tutte, uno dei plurimi nodi critici dell’art. 270 c.p.p. Di talché, si ha un’ulteriore riprova di come lo strumento delle “novelle lampo”, strutturate in via d’urgenza sulla base di un confronto diretto del Ministro con i rappresentanti della magistratura, senza mettere neppure nelle condizioni entrambi i rami del Parlamento
(109) La citazione è tratta da Cassibba, La circolazione delle intercettazioni, cit., 177. Pare utile ricordare che, nel vigore del vecchio codice (che allo stesso modo non prevedeva esplicitamente il deposito dei decreti), la Corte costituzionale (Corte cost., 11 giugno 1987, n. 223, all’indirizzo <www.cortecostituzionale.it>), seppur con un’interpretativa di rigetto, ne aveva considerato doverosa l’introduzione nel procedimento ad quem. Per un cenno sul punto v. Camon, Le intercettazioni nel processo penale, cit., 297.
(113) Cfr. Giordano, La disciplina del “captatore informatico”, cit., 275, nonché De amicis, Il regime della “circolazione”, cit., 17.
(110) In proposito, v. l’ampia analisi di Cassibba, La circolazione delle intercettazioni, cit., 175 ss, nonché di Giordano, La disciplina del “captatore informatico”, in Bene (cur.), L’intercettazione di comunicazioni, cit., 275.
(115) Vedi supra, par. 2.
(111) Così, Giordano, La disciplina del “captatore informatico”, cit., 275.
(117) In proposito, cfr., per tutti, Caprioli, La procedura di filtro delle comunicazioni rilevanti nella legge di riforma della disciplina delle intercettazioni, in Cass. pen., 2020, 1384, il quale afferma come di tale novella «non rimane che qualche annerita maceria».
(112) In questo senso, v., efficacemente, Cassibba, La circolazione delle intercettazioni, cit., 176.
(114) Al riguardo, v. Gialuz, L’emergenza nell’emergenza: il decreto-legge n. 28 del 2020, tra ennesima proroga delle intercettazioni, norme manifesto e “terzo tempo” parlamentare, in Sist. pen., 1o maggio 2020, all’indirizzo <https:// sistemapenale.it/it/scheda/proroga-intercettazioni-processo-penale-da-remoto-41-bis-decreto-legge-28-aprile-2020-n-28-covid-19-gialuz>. (116) Lo rileva anche De amicis, Il regime della “circolazione”, cit., 17.
DIRITTO DI INTERNET N. 3/2020
427
SAGGI di migliorare il dettato normativo di partenza, produca molti più danni che benefici. Come si è cercato di dimostrare nel presente scritto, un tale metodo ha, infatti, portato a un risultato esiziale: rendere l’art. 270 c.p.p. senz’altro più oscuro – e nelle intenzioni dei riformatori assai meno garantista – rispetto a come era stato configurato dal legislatore del 1988 e persino da quello degli anni Settanta. L’auspicio è che, quando la nuova versione della norma in esame diventerà davvero operativa (118), vengano sfruttati, nei limiti del possibile, gli spazi per le interpretazioni costituzionalmente orientate che si sono via via prospettate. Purtroppo, però, visti i pregressi orientamenti della giurisprudenza in materia, c’è poco da essere ottimisti.
(118) Va, infatti, ricordato che il Governo con il d.l. 30 aprile 2020, n. 28 ha stabilito che anche la previsione in commento, così come la quasi totalità della riforma Bonafede delle intercettazioni, si applicherà soltanto ai procedimenti penali iscritti successivamente al 31 agosto 2020 (e non più a quelli iscritti dopo il 30 aprile, come era stato previsto dalla l. di conversione n. 7 del 2020). Di talché, di fronte a siffatto ennesimo rinvio, resta «l’amara impressione di una vicenda che evoca il capolavoro del teatro dell’assurdo di Samuel Beckett, Aspettando Godot. Chissà se arriverà mai» (così, efficacemente, Gialuz, L’emergenza nell’emergenza: il decreto-legge n. 28 del 2020, cit.). L’esperienza degli ultimi anni insegna, del resto, che vi è sempre la possibilità di un ulteriore ripensamento dei conditores, compiuto ben al di là di qualsiasi “tempo supplementare” logicamente ammissibile. Chi lo sa, pertanto, che il legislatore non stupisca di nuovo tutti, modificando ancora una volta le norme commentate in queste pagine. Paradossalmente, a fronte di tutte le imperfezioni e lacune segnalate, una prospettiva di tal tipo non sarebbe neppure da salutare con sfavore.
428
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA EUROPEA
I profili di responsabilità di Amazon sulla base della direttiva e-commerce Corte di G iustizia dell ’Unione E uropea ; sentenza 2 aprile 2020; C-567/18; Pres. Sezione E. Regan; Giudice I. Jarukaitis; Giudice E. Juhász; Rel. M. Ileši; Giudice C. Lycourgos; Avv. Gen. M. Campos Sánchez-Bordona; Canc. D. Dittert; Coty Germany GmbH c. Amazon Services Europe Sàrl, Amazon Europe Core Sàrl, Amazon FC Graben GmbH, Amazon EU Sàrl. L’articolo 9, paragrafo 2, lettera b), del regolamento (CE) n. 207/2009 del Consiglio, del 26 febbraio 2009, sul marchio [dell’Unione europea], e l’articolo 9, paragrafo 3, lettera b), del regolamento (UE) 2017/1001 del Parlamento europeo e del Consiglio, del 14 giugno 2017, sul marchio dell’Unione europea, devono essere interpretati nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, si deve ritenere che non stocchi tali prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi delle succitate disposizioni, qualora non persegua essa stessa dette finalità.
Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 9, paragrafo 2, lettera b), del regolamento (CE) n. 207/2009 del Consiglio, del 26 febbraio 2009, sul marchio [dell’Unione europea] (GU 2009, L 78, pag. 1), nella versione anteriore alle modifiche ad opera del regolamento (UE) 2015/2424 del Parlamento europeo e del Consiglio, del 16 dicembre 2015 (GU 2015, L 341, pag. 21), nonché dell’articolo 9, paragrafo 3, lettera b), del regolamento (UE) 2017/1001 del Parlamento europeo e del Consiglio, del 14 giugno 2017, sul marchio dell’Unione europea (GU 2017, L 154, pag. 1). 2 Tale domanda è stata proposta nell’ambito di una controversia tra Coty Germany GmbH (in prosieguo: «Coty»), da un lato, e Amazon Services Europe Sàrl, Amazon Europe Core Sàrl, Amazon FC Graben GmbH e Amazon EU Sàrl, dall’altro, in merito alla vendita, in uno spazio di mercato del sito Internet www.amazon.de, da parte di un venditore terzo, senza l’autorizzazione di Coty, di flaconi di profumo per i quali i diritti conferiti dal marchio non sono esauriti. Contesto normativo Regolamento n. 207/2009 3 L’articolo 9 del regolamento n. 207/2009, intitolato «Diritti conferiti dal marchio [dell’Unione europea]», nella versione anteriore alle modifiche ad opera del regolamento 2015/2424, prevedeva, ai paragrafi 1 e 2, quanto segue: «1. Il marchio [dell’Unione europea] conferisce al suo titolare un diritto esclusivo. Il titolare ha il diritto di vietare ai terzi, salvo proprio consenso, di usare nel commercio:
a) un segno identico al marchio [dell’Unione europea] per prodotti o servizi identici a quelli per cui esso è stato registrato; b) un segno che[,] a motivo della sua identità o somiglianza col marchio [dell’Unione europea] e dell’identità o somiglianza dei prodotti o servizi contraddistinti dal marchio [dell’Unione europea] e dal segno, possa dare adito a un rischio di confusione per il pubblico; il rischio di confusione comprende il rischio di associazione tra segno e marchio; c) un segno identico o simile al marchio [dell’Unione europea] per prodotti o servizi che non sono simili a quelli per i quali questo è stato registrato, se il marchio [dell’Unione europea] gode di notorietà nell’[Unione] e se l’uso del segno senza giusto motivo consente di trarre indebito vantaggio dal carattere distintivo o dalla notorietà del marchio [dell’Unione europea] o reca pregiudizio agli stessi. 2. Possono essere in particolare vietati, a norma del paragrafo 1: (...) b) l’offerta, l’immissione in commercio o lo stoccaggio dei prodotti a tali fini oppure l’offerta o la fornitura di servizi sotto la copertura del segno; (...)». 4 Il regolamento n. 207/2009, come modificato dal regolamento 2015/2424, è stato abrogato e sostituito, con effetto dal 1º ottobre 2017, dal regolamento 2017/1001. Regolamento 2017/1001 5 L’articolo 9 del regolamento 2017/1001 così recita: «1. La registrazione del marchio UE conferisce al titolare un diritto esclusivo. 2. Fatti salvi i diritti dei titolari acquisiti prima della data di deposito o della data di priorità del marchio
DIRITTO DI INTERNET N. 3/2020
429
GIURISPRUDENZA EUROPEA UE, il titolare del marchio UE ha il diritto di vietare ai terzi, salvo proprio consenso, di usare nel commercio, in relazione a prodotti o servizi, qualsiasi segno quando: a) il segno è identico al marchio UE ed è usato in relazione a prodotti e servizi identici ai prodotti o ai servizi per i quali il marchio UE è stato registrato; b) il segno è identico o simile al marchio UE ed è usato in relazione a prodotti e a servizi identici o simili ai prodotti o ai servizi per i quali il marchio UE è stato registrato, se vi è rischio di confusione da parte del pubblico; il rischio di confusione comprende il rischio di associazione tra segno e marchio; c) il segno è identico o simile al marchio UE, a prescindere dal fatto che sia usato per prodotti o servizi identici, simili o non simili a quelli per i quali il marchio UE è stato registrato, se il marchio UE gode di notorietà nell’Unione e se l’uso del segno senza giusto motivo consente di trarre indebito vantaggio dal carattere distintivo o dalla notorietà del marchio UE o reca pregiudizio agli stessi. 3. Possono essere in particolare vietati, a norma del paragrafo 2: (...) b) l’offerta, l’immissione in commercio o lo stoccaggio dei prodotti a tali fini oppure l’offerta o la fornitura di servizi sotto la copertura del segno; (...)». Direttiva 2000/31/CE 6 L’articolo 14 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU 2000, L 178, pag. 1), intitolato «“Hosting”», al paragrafo 1 così dispone: «Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione, o b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso». Direttiva 2004/48/CE 7 L’articolo 11 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU 2004,
430
DIRITTO DI INTERNET N. 3/2020
L 157, pag. 45, e, per rettifica, GU 2004, L 195, pag. 16), intitolato «Ingiunzioni», prevede, alla prima frase, quanto segue: «Gli Stati membri assicurano che, in presenza di una decisione giudiziaria che ha accertato una violazione di un diritto di proprietà intellettuale, le autorità giudiziarie possano emettere nei confronti dell’autore della violazione un’ingiunzione diretta a vietare il proseguimento della violazione». Procedimento principale e questione pregiudiziale 8 Coty, azienda che distribuisce profumi, è titolare di una licenza sul marchio dell’Unione europea DAVIDOFF registrato con il numero 876 874 (in prosieguo: il «marchio controverso»), tutelato per i prodotti «profumeria, oli essenziali, cosmetici». 9 Amazon Services Europe offre a venditori terzi la possibilità di pubblicare, per i loro prodotti, offerte di vendita sul sito Internet www.amazon.de, all’interno dello spazio «Amazon-Marketplace». In caso di vendita, i contratti aventi ad oggetto tali prodotti sono stipulati tra i venditori terzi e gli acquirenti. Detti venditori terzi hanno, peraltro, la possibilità di partecipare al programma «Logistica di Amazon», nell’ambito del quale i prodotti sono conservati da società del gruppo Amazon, tra cui Amazon FC Graben, che gestisce un deposito. La spedizione di tali prodotti è effettuata da prestatori esterni. 10 L’8 maggio 2014 un acquirente-test di Coty ordinava, tramite il sito Internet www.amazon.de, un flacone di profumo «Davidoff Hot Water EdT 60 ml» offerto in vendita da una venditrice terza (in prosieguo: la «venditrice») e spedito dal gruppo Amazon nell’ambito del programma summenzionato. Su diffida di Coty, in quanto in relazione ai prodotti affidati dalla venditrice ad Amazon FC Graben nell’ambito di detto programma i diritti conferiti dal marchio controverso non erano esauriti, non trattandosi di prodotti immessi in commercio nell’Unione con detto marchio dal titolare o con il suo consenso, la venditrice medesima assumeva un impegno di astensione corredato da una clausola penale. 11 Con lettera del 2 giugno 2014, Coty invitava Amazon Services Europe a rimetterle tutti i flaconi di profumo recanti il marchio controverso stoccati per conto della venditrice. Amazon Services Europe inviava a Coty un pacco contenente 30 flaconi di profumo. Informata da un’altra società appartenente al gruppo Amazon che 11 dei 30 flaconi inviati provenivano dalle scorte di un altro venditore, Coty invitava Amazon Services Europe a indicarle il nome e l’indirizzo di tale altro venditore, giacché in relazione a 29 flaconi su 30 non si sarebbe verificato alcun esaurimento dei diritti conferiti dal marchio. Amazon Services Europe rispondeva di non essere in grado di soddisfare la richiesta.
GIURISPRUDENZA EUROPEA 12 Ritenendo che il comportamento di Amazon Services Europe, da un lato, e quello di Amazon FC Graben, dall’altro, violassero il diritto sul marchio controverso, Coty chiedeva in particolare, in sostanza, che tali due società fossero condannate, a pena di sanzioni, ad astenersi dallo stoccare o spedire, o far stoccare o far spedire, in Germania, nel commercio, profumi recanti il marchio Davidoff Hot Water, se tali prodotti non fossero stati immessi in commercio nell’Unione con il suo consenso. Chiedeva, in subordine, che le medesime società fossero condannate, negli stessi termini, per quanto riguarda i profumi del marchio Davidoff Hot Water EdT 60 ml e, in ulteriore subordine, che fossero condannate, negli stessi termini, per quanto riguarda i profumi del marchio Davidoff Hot Water EdT 60 ml in deposito per conto della venditrice o che non potessero essere collegati ad alcun altro venditore. 13 Il Landgericht (Tribunale del Land, Germania) respingeva l’azione proposta da Coty. Quest’ultima risultava soccombente anche in secondo grado, ritenendo il giudice d’appello, in particolare, che Amazon Services Europe non avesse né stoccato né spedito i prodotti in questione e che Amazon FC Graben avesse conservato tali prodotti per conto della venditrice e di altri venditori terzi. 14 Coty ha proposto ricorso per cassazione («Revision») dinanzi al giudice del rinvio. Solo Amazon Services Europe e Amazon FC Graben sono state citate in giudizio. 15 Il giudice del rinvio rileva che l’esito dell’impugnazione, là dove Coty contesta la valutazione del giudice d’appello secondo cui Amazon FC Graben non è responsabile come autore della violazione di un diritto di marchio, dipende dall’interpretazione dell’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e dell’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001. 16 In particolare, l’esito del ricorso per cassazione («Revision») dipenderebbe da se tali disposizioni debbano essere interpretate nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, e non sia a conoscenza della violazione del diritto di marchio, effettua lo stoccaggio di tali prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi di dette disposizioni, anche se solo il terzo intende offrire detti prodotti o immetterli in commercio. 17 Il giudice del rinvio precisa altresì che, poiché Coty basa una delle sue domande sul rischio di recidiva, la sua azione è fondata solo se l’illegittimità del comportamento delle società in causa del gruppo Amazon è accertata sia alla data dei fatti del procedimento principale sia a quella della pronuncia della decisione sul ricorso per cassazione («Revision»).
18 In tali circostanze il Bundesgerichtshof (Corte federale di giustizia, Germania) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale: «Se una persona che conserva per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, effettui lo stoccaggio di tali prodotti ai fini dell’offerta o dell’immissione in commercio, nel caso in cui solo il terzo, e non anche essa stessa, intenda offrire o immettere in commercio detti prodotti». Sulla questione pregiudiziale Sulla ricevibilità 19 Coty fa valere, da un lato, che la questione pregiudiziale, come sollevata dal giudice del rinvio, riguarda essenzialmente un depositario che non fornisce alcuna assistenza all’offerta di vendita, alla vendita e all’immissione in commercio dei prodotti che ha in deposito. Orbene, Amazon FC Graben non presenterebbe caratteristiche del genere, tenuto conto dei servizi proposti da altre società del gruppo Amazon nell’ambito dell’immissione in commercio dei prodotti di cui trattasi, cosicché non si può escludere che la questione pregiudiziale verta su un problema di natura ipotetica o che non presenti un rapporto sufficiente con la realtà o con l’oggetto della controversia nel procedimento principale. 20 Dall’altro lato, Coty rileva che la descrizione delle resistenti nel procedimento principale contenuta nella decisione di rinvio non riflette sufficientemente il ruolo svolto da Amazon Services Europe e da Amazon FC Graben per quanto riguarda l’immissione in commercio dei prodotti di cui trattasi. Essa afferma, in tale contesto, che, nella comunicazione ai fini della vendita e al momento dell’esecuzione del contratto di vendita, tali società si sostituiscono interamente al venditore. Inoltre, su ordine di Amazon Services Europe e di Amazon EU, Amazon Europe Core promuoverebbe in modo continuativo i prodotti sul sito Internet www.amazon. de mediante annunci pubblicitari nel motore di ricerca Google che rinvierebbero a offerte tanto di Amazon EU a proprio nome quanto di terzi, gestite da Amazon Services Europe. Pertanto, considerata nel suo insieme, l’attività delle resistenti nel procedimento principale andrebbe ben oltre il ruolo svolto dalla società eBay nella causa all’origine della sentenza del 12 luglio 2011, L’Oréal e a. (C‑324/09, EU:C:2011:474). 21 Al riguardo è sufficiente ricordare che, quando risponde a questioni pregiudiziali, la Corte deve prendere in considerazione, nell’ambito della ripartizione delle competenze con i giudici nazionali, il contesto fattuale e normativo nel quale si inseriscono le questioni pregiudiziali medesime come definito dal giudice del rinvio (sentenze del 5 dicembre 2017, M.A.S. e M.B., C‑42/17, EU:C:2017:936, punto 24, nonché del 14 novembre
DIRITTO DI INTERNET N. 3/2020
431
GIURISPRUDENZA EUROPEA 2019, Spedidam, C‑484/18, EU:C:2019:970, punto 29 e giurisprudenza ivi citata). 22 Poiché il giudice del rinvio è il solo competente ad accertare e valutare i fatti della controversia di cui è investito, la Corte deve, in linea di principio, limitare il proprio esame agli elementi di valutazione che il giudice del rinvio ha deciso di sottoporle e attenersi alla situazione che tale giudice ritenga accertata e non può essere vincolata dalle ipotesi formulate da una delle parti nel procedimento principale (sentenza dell’8 giugno 2016, Hünnebeck, C‑479/14, EU:C:2016:412, punto 36 e giurisprudenza ivi citata). 23 Spetta esclusivamente al giudice nazionale cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale valutare, alla luce delle particolari circostanze della causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, allorché le questioni sollevate riguardano l’interpretazione di una norma giuridica dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 19 dicembre 2019, Dobersberger, C‑16/18, EU:C:2019:1110, punto 18 e giurisprudenza ivi citata). 24 Ne consegue che le questioni vertenti sul diritto dell’Unione sono assistite da una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale sollevata da un giudice nazionale è possibile soltanto qualora risulti in modo manifesto che l’interpretazione richiesta relativamente ad una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, oppure qualora il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte (sentenza del 19 dicembre 2019, Dobersberger, C‑16/18, EU:C:2019:1110, punto 19 e giurisprudenza ivi citata). 25 Ebbene, tale ipotesi non ricorre nel caso in esame. 26 Per un verso, come risulta inequivocabilmente dalla decisione di rinvio e come ricordato al punto 15 della presente sentenza, l’esito del ricorso per cassazione («Revision») dipende, secondo il giudice del rinvio, dall’interpretazione dell’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e dell’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001, richiesta da tale giudice al fine di accertare l’eventuale responsabilità di Amazon FC Graben per la violazione del diritto di marchio di Coty. 27 Per altro verso, la Corte dispone degli elementi di fatto e di diritto necessari per rispondere in modo utile alla questione sottopostale. Dalla decisione di rinvio risulta infatti chiaramente, da un lato, che Amazon Services Europe offre a venditori terzi la possibilità di
432
DIRITTO DI INTERNET N. 3/2020
pubblicare, per i loro prodotti, offerte di vendita nello spazio «Amazon-Marketplace» del sito Internet www. amazon.de e, dall’altro, che Amazon FC Graben gestisce un deposito nel quale i prodotti in questione sono stati conservati. 28 Per il resto, per quanto riguarda l’assenza, nella decisione di rinvio, di descrizioni di Amazon EU e di Amazon Europe Core, è giocoforza constatare che l’eventuale responsabilità di tali società non è oggetto del ricorso per cassazione («Revision») pendente dinanzi al giudice del rinvio né, pertanto, della domanda di pronuncia pregiudiziale. 29 La questione pregiudiziale è, di conseguenza, ricevibile. Nel merito 30 Con la sua questione il giudice del rinvio domanda, in sostanza, se l’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e l’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001 debbano essere interpretati nel senso che occorre ritenere che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, stocchi tali prodotti ai fini della loro offerta o immissione in commercio ai sensi delle citate disposizioni, anche quando non persegue essa stessa dette finalità. 31 Occorre ricordare, in via preliminare, che, ai termini dell’articolo 9, paragrafo 1, del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafi 1 e 2, del regolamento 2017/1001, il marchio dell’Unione europea conferisce al suo titolare il diritto esclusivo di vietare a qualsiasi terzo di usare nel commercio un segno identico a tale marchio per prodotti o servizi identici a quelli per cui esso è stato registrato, o un segno che, a motivo della sua identità o somiglianza con il marchio dell’Unione europea e dell’identità o somiglianza dei prodotti e dei servizi contraddistinti da tale marchio e dal segno, possa dare adito a un rischio di confusione per il pubblico, oppure un segno identico o simile al marchio dell’Unione europea per prodotti o servizi che non sono simili a quelli per i quali tale marchio è stato registrato, se quest’ultimo gode di notorietà nell’Unione e l’uso del segno senza giusto motivo consente di trarre indebito vantaggio dal carattere distintivo o dalla notorietà del marchio oppure rechi pregiudizio agli stessi. 32 L’articolo 9, paragrafo 2, del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafo 3, del regolamento 2017/1001, fa un elenco non tassativo dei tipi di uso che possono essere vietati dal titolare di un marchio ai sensi dell’articolo 9, paragrafo 1, del regolamento n. 207/2009 e dell’articolo 9, paragrafo 1, del regolamento 2017/1001 (v., in tal senso,
GIURISPRUDENZA EUROPEA sentenza del 23 marzo 2010, Google France e Google, da C‑236/08 a C‑238/08, EU:C:2010:159, punto 65). 33 Tra questi ultimi figurano, all’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001, l’offerta dei prodotti, la loro immissione in commercio oppure il loro stoccaggio a tali fini. 34 Nel caso di specie, dalla decisione di rinvio risulta, da un lato, che le resistenti nel procedimento principale si sono limitate al magazzinaggio dei prodotti di cui trattasi, senza averli offerti in vendita o averli immessi in commercio esse stesse, e, dall’altro, che esse tantomeno intendevano offrire tali prodotti in vendita o immetterli in commercio. 35 Occorre pertanto stabilire se una siffatta operazione di magazzinaggio possa essere considerata un «uso» del marchio ai sensi dell’articolo 9, paragrafo 1, del regolamento n. 207/2009 e dell’articolo 9, paragrafi 1 e 2, del regolamento 2017/1001 e, in particolare, se configuri uno «stoccaggio» dei prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi dell’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001. 36 A tal riguardo occorre ricordare, in primo luogo, che né il regolamento n. 207/2009 né il regolamento 2017/1001 definiscono la nozione di «usare» ai sensi dell’articolo 9 di tali regolamenti. 37 La Corte ha tuttavia già avuto occasione di sottolineare che, nella sua accezione abituale, il verbo «usare» implica un comportamento attivo e un controllo, diretto o indiretto, sull’atto che costituisce l’uso. In proposito essa ha rilevato che l’articolo 9, paragrafo 2, del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafo 3, del regolamento 2017/1001, che fa un elenco non tassativo dei tipi di uso che il titolare del marchio può vietare, menziona esclusivamente comportamenti attivi da parte del terzo (v., in tal senso, sentenze del 3 marzo 2016, Daimler, C‑179/15, EU:C:2016:134, punti 39 e 40, nonché del 25 luglio 2018, Mitsubishi Shoji Kaisha e Mitsubishi Caterpillar Forklift Europe, C‑129/17, EU:C:2018:594, punto 38). 38 La Corte ha altresì ricordato che tali disposizioni hanno lo scopo di fornire al titolare di un marchio uno strumento legale che gli consenta di vietare, e quindi di far cessare, ogni uso del suo marchio fatto da un terzo senza il suo consenso. Ebbene, solo un terzo che abbia il controllo, diretto o indiretto, sull’atto che costituisce l’uso è effettivamente in grado di cessare tale uso e quindi di conformarsi a detto divieto (v., in tal senso, sentenza del 3 marzo 2016, Daimler, C‑179/15, EU:C:2016:134, punto 41).
39 La Corte ha peraltro ripetutamente dichiarato che l’uso di un segno identico o simile al marchio del titolare da parte di un terzo implica, quanto meno, che quest’ultimo utilizzi il segno nell’ambito della propria comunicazione commerciale. Una persona può così permettere ai propri clienti di fare uso di segni identici o simili a marchi senza utilizzare essa stessa tali segni (v., in tal senso, sentenza del 23 marzo 2010, Google France e Google, da C‑236/08 a C‑238/08, EU:C:2010:159, punto 56). 40 Per esempio, la Corte ha considerato, trattandosi della gestione di una piattaforma di commercio on-line, che l’uso di segni identici o simili a marchi in offerte di vendita che compaiono in un mercato on-line ha luogo ad opera dei clienti-venditori del gestore di tale mercato e non ad opera del gestore stesso (v., in tal senso, sentenza del 12 luglio 2011, L’Oréal e a., C‑324/09, EU:C:2011:474, punto 103). 41 Essa ha altresì rilevato, nel caso di un’impresa la cui attività principale consisteva nel riempimento di lattine con bevande prodotte da essa stessa o da terzi, che un prestatore di servizi che si limiti a riempire, su incarico e su istruzioni di un terzo, lattine già provviste di segni simili a marchi e quindi ad eseguire semplicemente una parte tecnica del processo di produzione del prodotto finale, senza avere il minimo interesse nella presentazione esterna di dette lattine e in particolare nei segni che vi figurano, non «usa» esso stesso tali segni, bensì crea unicamente le condizioni tecniche necessarie perché il terzo possa usarli (v., in tal senso, sentenza del 15 dicembre 2011, Frisdranken Industrie Winters, C‑119/10, EU:C:2011:837, punto 30). 42 Parimenti, la Corte ha dichiarato che, se è vero che fa «uso» di un segno identico al marchio l’operatore economico che, in vista della loro commercializzazione, importi o rimetta ad un depositario merci recanti un marchio di cui non è titolare, non è necessariamente così nel caso del depositario che fornisce un servizio di deposito per le merci recanti il marchio altrui (v., in tal senso, sentenza del 16 luglio 2015, TOP Logistics e a., C‑379/14, EU:C:2015:497, punti 42 e 45). 43 Invero, il fatto di creare le condizioni tecniche necessarie per l’uso di un segno e di essere remunerati per tale servizio non significa che chi rende tale servizio usi egli stesso il segno (v., in tal senso, sentenze del 23 marzo 2010, Google France e Google, da C‑236/08 a C‑238/08, EU:C:2010:159, punto 57, e del 15 dicembre 2011, Frisdranken Industrie Winters, C‑119/10, EU:C:2011:837, punto 29). 44 In secondo luogo, dalla formulazione dell’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009, la cui sostanza è ripresa all’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001, risulta che tale disposizione riguarda specificamente l’offerta di prodotti, la
DIRITTO DI INTERNET N. 3/2020
433
GIURISPRUDENZA EUROPEA loro immissione in commercio, il loro stoccaggio «a tali fini» oppure l’offerta o la fornitura di servizi sotto la copertura del segno in questione. 45 Ne consegue che, affinché il magazzinaggio di prodotti rivestiti di segni identici o simili a marchi possa essere qualificato come «uso» di tali segni, occorre pure, come rilevato, in sostanza, dall’avvocato generale al paragrafo 67 delle sue conclusioni, che l’operatore economico che effettua tale magazzinaggio persegua in prima persona le finalità cui si riferiscono tali disposizioni, che consistono nell’offerta dei prodotti o nella loro immissione in commercio. 46 Diversamente, non si può ritenere che l’atto che costituisce l’uso del marchio lo compia tale persona né che il segno sia utilizzato nell’ambito della sua comunicazione commerciale. 47 Orbene, nel caso di specie, per quanto riguarda le resistenti nel procedimento principale, come rilevato al punto 34 della presente sentenza, il giudice del rinvio indica senza ambiguità che non hanno esse stesse offerto in vendita i prodotti di cui trattasi né li hanno immessi in commercio, precisando, anzi, nel testo della sua questione, che è solo il terzo che intende offrire i prodotti o immetterli in commercio. Ne consegue che esse non fanno, di per sé, uso del segno nell’ambito della loro comunicazione commerciale. 48 Tale conclusione, ciò detto, fa salva la possibilità di considerare che le suddette parti utilizzino esse stesse il segno per quanto riguarda i flaconi di profumo che stocchino non per venditori terzi, bensì per proprio conto, o che, non potendo esse identificare il venditore terzo, sarebbero offerti o immessi in commercio dalle medesime in prima persona. 49 Infine, nonostante le considerazioni svolte al punto 47 della presente sentenza, si deve ricordare come risulti da una giurisprudenza consolidata che, quando un operatore economico ha permesso a un altro operatore di fare uso di un marchio, il suo ruolo deve, all’occorrenza, essere esaminato con riferimento a norme giuridiche diverse dall’articolo 9 del regolamento n. 207/2009 o dall’articolo 9 del regolamento 2017/1001 (v., in tal senso, sentenze del 23 marzo 2010, Google France e Google, da C‑236/08 a C‑238/08, EU:C:2010:159, punto 57, e del 15 dicembre 2011, Frisdranken Industrie Winters, C‑119/10, EU:C:2011:837, punto 35), quali l’articolo 14, paragrafo 1, della direttiva 2000/31 o l’articolo 11, prima frase, della direttiva 2004/48. 50 A tal riguardo Coty chiede alla Corte, in caso di risposta in senso negativo alla questione sollevata dal giudice del rinvio, di stabilire se l’attività del gestore di uno spazio di mercato on-line in circostanze come quelle di cui al procedimento principale rientri nell’ambito di applicazione dell’articolo 14, paragrafo 1, della direttiva 2000/31 e, se non vi rientrasse, se un tale gestore debba
434
DIRITTO DI INTERNET N. 3/2020
essere considerato un «autore della violazione» ai sensi dell’articolo 11, prima frase, della direttiva 2004/48. 51 Occorre tuttavia ricordare che, secondo una giurisprudenza costante, si devono esaminare, delle questioni sottoposte alla Corte dalle parti del procedimento principale, solo quelle che hanno costituito oggetto della decisione di rinvio del giudice nazionale (sentenza del 3 settembre 2015, A2A, C‑89/14, EU:C:2015:537, punto 44 e giurisprudenza ivi citata). 52 Orbene, è pacifico che, nella sua domanda di pronuncia pregiudiziale, il giudice del rinvio non ha sollevato tale questione, sicché non occorre rispondervi. 53 Tutto ciò considerato, occorre rispondere alla questione sollevata dichiarando che l’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e l’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001 devono essere interpretati nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, si deve ritenere che non stocchi tali prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi delle succitate disposizioni, qualora non persegua essa stessa dette finalità. Sulle spese 54 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte (Quinta Sezione) dichiara: L’articolo 9, paragrafo 2, lettera b), del regolamento (CE) n. 207/2009 del Consiglio, del 26 febbraio 2009, sul marchio [dell’Unione europea], e l’articolo 9, paragrafo 3, lettera b), del regolamento (UE) 2017/1001 del Parlamento europeo e del Consiglio, del 14 giugno 2017, sul marchio dell’Unione europea, devono essere interpretati nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, si deve ritenere che non stocchi tali prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi delle succitate disposizioni, qualora non persegua essa stessa dette finalità.
GIURISPRUDENZA EUROPEA
IL COMMENTO
di Alessandro La Rosa Sommario: 1. La questione pregiudiziale; 2. L’elemento soggettivo: la conoscenza della violazione; 3 La Corte di Cassazione (sentenza n. 7708/2019); 4. La direttiva 2004/48/CE; 5. Il dovere di diligenza; 6 Considerazioni finali La Corte di Giustizia, chiamata ad esprimersi sulla applicabilità al caso di specie delle previsioni di cui all’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e all’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001, incidentalmente apre al riconoscimento di profili di responsabilità del gestore di un market-place (“Amazon”) sulla base delle norme che regolano la responsabilità degli intermediari della rete. The Court of Justice, called upon to rule on the applicability to the present case of the provisions of Article 9(2)(b) of Regulation no. 207/2009 and Article 9(3)(b) of Regulation no. 2017/1001, incidentally opens to the recognition of the liability of the market-place operator (‘Amazon’) on the basis of the rules governing the liability of network intermediaries.
1. La questione pregiudiziale
Con sentenza del 2 aprile 2020 la Corte di Giustizia dell’Unione Europea (nella causa C-567/18) si è espressa su una questione pregiudiziale, sottopostale dal Bundesgerichtshof (Corte federale di giustizia), relativa all’interpretazione dell’articolo 9, paragrafo 2, lettera b), del regolamento n. 207/2009 e dell’articolo 9, paragrafo 3, lettera b), del regolamento 2017/1001. In particolare la Corte UE è stata chiamata a decidere sulla seguente questione: «Se una persona che immagazzina prodotti lesivi dei diritti di un marchio per conto di un terzo, senza aver conoscenza della violazione, effettui lo stoccaggio di tali prodotti ai fini dell’offerta o dell’immissione in commercio, nel caso in cui solo il terzo, e non anche la persona stessa, intenda offrire o immettere in commercio detti prodotti». Nel caso sottoposto alla Corte, in breve, la società Coty lamentava il fatto che prodotti a marchio Davidoff fossero stati messi in commercio ed offerti in vendita al pubblico, senza il consenso della titolare, attraverso il marketplace di Amazon.de ma da soggetti terzi al gestore del portale.
2. L’elemento soggettivo: la conoscenza della violazione
I profili afferenti la presunta violazione del diritto del titolare di un marchio dell’Unione di vietare a terzi l’uso del segno sono stati risolti dalla Corte interpretando le disposizioni su citate “nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, si deve ritenere che non stocchi tali prodotti ai fini della loro offerta o della loro immissione in commercio … qualora non persegua essa stessa dette finalità” (1). Tuttavia, non può sfuggire al lettore che il Giudice del rinvio, nel formulare la questione pregiudiziale, ha dato
(1) Punti 53 e 54 della sentenza in commento.
importanza centrale all’elemento soggettivo della “conoscenza della violazione” da parte della “persona che immagazzina prodotti lesivi dei diritti di un marchio per conto di un terzo” (nella fattispecie concreta, Amazon). Parimenti rilevante è, ai fini che qui interessano, il fatto che lo stesso articolo 17 del regolamento 2017/1001 «non esclude che si possano intentare azioni inerenti a un marchio UE fondate sul diritto degli Stati membri riguardante in particolare la responsabilità civile e la concorrenza sleale» (paragrafo 2). Ne segue che l’Autorità nazionale, trovandosi a dover giudicare su un caso come quello di cui si discute, pur dovendo escludere a certe condizioni la configurabilità di una lesione delle norme interne che recepiscono l’art. 9 del regolamento ult. cit., dovrà comunque valutare la configurabilità di altre ipotesi di illecito da parte del gestore del marketplace “riguardanti in particolare la responsabilità civile e la concorrenza sleale”. Con riferimento alla responsabilità civile, non si può omettere di ricordare che l’attività “tipica” di Amazon è la fornitura di servizi qualificabili come “marketplace”, servizi che, come è noto, rientrano a pieno titolo nell’ambito di operatività della Direttiva e-commerce n. 2000/31/CE (2). Tale ultima direttiva, nel regolare taluni aspetti afferenti la responsabilità civile dei fornitori dei servizi della società dell’informazione, prevede uno speciale regime di limitazione della responsabilità dei fornitori di servizi di hosting (servizi che consistono “esclusivamente” -considerando 42- nello stoccaggio di dati e informazioni a richiesta dei destinatari del servizio, art. 14) a condizione che detto prestatore: a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o
(2) <https://eur-lex.europa.eu/legal-content/it/ALL/?uri=CELEX:32000L0031>.
DIRITTO DI INTERNET N. 3/2020
435
GIURISPRUDENZA EUROPEA di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione, o b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso. In ogni caso, poi, il detto fornitore di servizi della rete non potrà giovarsi delle limitazioni in questione “se il destinatario del servizio agisce sotto il (proprio n.d.r.) controllo”. È di tutta evidenza che il legislatore comunitario, come del resto quello nazionale (cfr. art. 16 D. Lgs. n. 70/2003) (3), subordini l’operatività del regime di limitazione della responsabilità, previsto per il fornitore di servizi di hosting, all’assenza della conoscenza (l’essere “al corrente”) del fatto che “l’attività o l’informazione (da esso memorizzata n.d.r.) è illecita”. Stato soggettivo che rileva anche per quel che concerne eventuali “azioni risarcitorie”: situazione nella quale a rilevare non è la conoscenza de “l’attività o l’informazione” in sé bensì di “fatti o circostanze che rendono manifesta” l’illiceità della detta attività.
3. La Corte di Cassazione sentenza n. 7708/2019
Al riguardo, in tempi recenti, la Suprema Corte (Corte di Cassazione; sezione I civile; sentenza 19 marzo 2019, n. 7708; Pres. Genovese; Rel. Nazzicone; RTI c. Yahoo!) (4) è intervenuta ad interpretare il significato di tale disposizione ed ha affermato che “l’aggettivo (“manifesta”, n.d.r.) vale, in sostanza, a circoscrivere la responsabilità del prestatore alla fattispecie della colpa grave o del dolo: se l’illiceità deve essere “manifesta”, vuol dire che sarebbe possibile riscontrarla senza particolare difficoltà, alla stregua dell’esperienza e della conoscenza tipiche dell’operatore del settore e della diligenza professionale da lui esigibile, così che non averlo fatto integra almeno una grave negligenza dello stesso”. Tale interpretazione appare coerente con pronunce della Corte di giustizia dell’Unione Europea, secondo cui, potendo la causa comportare una condanna al pagamento di un risarcimento dei danni, occorre che il giudice esamini se il prestatore di un servizio della società dell’informazione “sia stato al corrente di fatti o di circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità di cui trattasi”, in ciò ricomprendendo (3) Così l’art. 16, comma 1, cit.: “Nella prestazione di un servizio della società dell’informazione, consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione”. (4) Le sentenze citate sono pubblicate in questa Rivista, 2019, 261, con note di Rovati e Panetta, Il ruolo attivo degli intermediari di internet e la conseguente responsabilità civile.
436
DIRITTO DI INTERNET N. 3/2020
le norme, “affinché non siano private del loro effetto utile (...) qualsiasi situazione nella quale il prestatore considerato viene ad essere, in qualunque modo, al corrente di tali fatti o circostanze”, l’ipotesi in cui il prestatore “scopre l’esistenza di un’attività o di un’informazione illecite a seguito di un esame effettuato di propria iniziativa, nonché la situazione in cui gli sia notificata l’esistenza di un’attività o di un’informazione siffatte” (Corte di giustizia UE; grande sezione; sentenza 12 luglio 2011, causa C-324/09; L’Orèal c. eBay, punti 120, 121, 122) (5). Per questa via la Suprema Corte (sentenza cit.) ha affermato che “sotto il profilo oggettivo, al prestatore del servizio non “attivo” (la figura considerata dall’art. 14 Direttiva 2000/31/CE, n.d.r.) si rimprovera una condotta commissiva mediante omissione, per avere - dal momento in cui sussista l’elemento psicologico predetto - concorso nel comportamento lesivo altrui a consumazione permanente, non avendo provveduto alla rimozione del dato informatico o al blocco all’accesso”. Al contrario, al c.d. hosting provider attivo, in presenza del predetto elemento psicologico, si rimprovera il concorso mediante condotta attiva nella commissione dell’illecito.
4. La direttiva 2004/48/CE
Parimenti rilevante è l’elemento soggettivo della consapevolezza, nuovamente a fini risarcitori, in base all’art. 13, paragrafo 1, della Direttiva 2004/48/CE: disposizione che impone alle competenti autorità giudiziarie degli Stati membri di ordinare “all’autore della violazione, implicato consapevolmente o con ragionevoli motivi per esserne consapevole in un’attività di violazione, di risarcire al titolare del diritto danni adeguati al pregiudizio effettivo da questo subito a causa della violazione”. La medesima disposizione, paragrafo 2, nuovamente sottolinea l’importanza della consapevolezza, come elemento che interferisce direttamente sui criteri di determinazione del danno: “nei casi in cui l’autore della violazione è stato implicato in un’attività di violazione senza saperlo o senza avere motivi ragionevoli per saperlo, gli Stati membri (5) Sul piano civilistico ci si dovrà anzi chiedere se il prestatore di servizi online, per il solo fatto di avere ospitato la offerta di vendita di prodotto contraffatto, non sia, perciò solo, responsabile nei confronti del titolare del diritto di autore violato. Ciò rimanda all’evidenza al problema del discrimine tra hosting provider “attivo” e “passivo” delineatosi dapprima nella giurisprudenza della Corte di Giustizia (sent. 12 luglio 2011, L’Oreal c. eBay, C-324/09 e sent. 11 settembre 2014, Sotiris Papasavvas, C-291/13) e da ult. affrontato da Cass. 19 marzo 2019, nn. 7708 e 7709, in questa Rivista, 2019, cit. Nel diritto nordamericano, secondo la doctrine della responsabilità che a sua volta affonda le radici nella antica actio di common law nota come respondeat superior, il prestatore di servizi è tenuto a rispondere dell’illecito altrui, là dove ne abbia tratto un vantaggio personale. In arg. v. Kostyu, Copyright Infringement on Internet: Determining the Liability of Internet Service Providers, in Catholic University Law Review, 1999, 1237 ss. Ulteriori approfondimenti in Cassano, Lo statuto della responsabilità civile degli Isp. Niente di nuovo sotto il sole, ma quanta fatica, in Vita notarile, 2019, 557.
GIURISPRUDENZA EUROPEA possono prevedere la possibilità che l’autorità giudiziaria disponga il recupero dei profitti o il pagamento di danni che possono essere predeterminati”. Introducendo per questa via un ulteriore elemento di valutazione della consapevolezza dell’operatore: la presenza o meno di motivi ragionevoli per acquisire conoscenza dell’illegalità dell’attività (diretta di terzi). È appena il caso di evidenziare che, sebbene il legislatore comunitario non faccia espresso riferimento agli “intermediari” –quale certamente è un operatore come Amazon (6)- nell’ambito della disposizione dell’art. 13 ult. cit., è ragionevole affermare che anche un intermediario i cui servizi siano utilizzati per violare il diritto di proprietà industriale di terzi può essere destinatario di tali previsioni: ciò in ragione del fatto che esso ben potrebbe partecipare (consapevolmente o meno) alla violazione di un diritto direttamente realizzata da terzi (i.e. dall’autore diretto della violazione). In tal senso depone sia l’obiettivo della direttiva 2004/48/CE (“assicurare un livello elevato, equivalente ed omogeneo di protezione della proprietà intellettuale nel mercato interno”, considerando 10), sia l’espressa menzione degli “intermediari” tra i destinatari delle previsioni degli articoli 9 e 11 della medesima direttiva. Norma, quest’ultima, che fa salvo quanto previsto dalla direttiva 2001/29/CE in relazione alla facoltà attribuita ai titolari dei diritti autoriali di “chiedere un provvedimento inibitorio nei confronti degli intermediari i cui servizi siano utilizzati da terzi per violare un diritto d’autore o diritti connessi” (art. 8, paragrafo 3, Direttiva ult. cit. (7)): intermediari che, naturalmente, ben possono atteggiarsi ad autori diretti, o indiretti, delle violazioni dei diritti di (6) Giova ricordare che la Commissione UE, con Comunicazione COM/2017/0708, ha dato atto del fatto che la Direttiva IPRED “non precisa quali operatori economici devono essere considerati intermediari ai sensi della direttiva”. Tuttavia la Corte di Giustizia accoglie una nozione molto ampia di “intermediario”, ha chiarito che un operatore economico può essere qualificato come intermediario ai sensi di tali disposizioni quando presta un servizio suscettibile di essere utilizzato da una o più altre persone per violare uno o più diritti di proprietà intellettuale o per accedere a contenuti o merci costituenti illecite (Cfr. causa C-314/12,UPC Telekabel). (7) Sul punto l’Avvocato Generale (causa C610/15, Ziggo BV) ha precisato che “Orbene, il caso previsto dall’articolo 8, paragrafo 3, della direttiva 2001/29 presuppone la sussistenza di un nesso tra l’oggetto del provvedimento inibitorio e la violazione dei diritti d’autore. Una misura di blocco di un sito Internet implica che sia stata accertata la responsabilità dell’operatore del suddetto sito per aver violato i diritti d’autore mediante i servizi dell’intermediario nei confronti del quale è diretto il provvedimento inibitorio. In tal caso detto operatore ha la qualità di terzo che viola i diritti d’autore ai sensi dell’articolo 8, paragrafo 3, della direttiva 2001/29” e che “Se l’operatore in questione non pone in essere l’atto oggetto del monopolio dell’autore (ad esempio la comunicazione al pubblico), tale violazione può unicamente essere indiretta. Tenuto conto del fatto che la responsabilità per tale tipo di violazioni non è armonizzata nell’ambito del diritto dell’Unione, essa deve essere espressamente prevista nel diritto nazionale. Spetta ai giudici nazionali verificare se una siffatta responsabilità sussista nel loro diritto interno” (punti 64 e 65).
terzi (tra le tante, causa C610/15, Ziggo; causa C314/12, UPC Telekabel). La Corte UE, del resto, ha già avuto modo di analizzare il comportamento di piattaforme di marketpalce alla luce della direttiva e-commerce in occasione del noto caso C324/09, L’Oréal v eBay. Si tratta di una delle prime decisioni con cui la Corte affronta la questione dell’interpretazione della “conoscenza effettiva” dell’attività illecita (art. 14, paragrafo 1, lett. a, direttiva e-commerce). Al riguardo, l’Avvocato Generale, nel fornire il proprio parere, proponeva di risolvere tale questione affermando che se il gestore della piattaforma on line ha “scoperto che A ha violato il marchio X inserendo un’offerta sul mercato online a settembre, non escluderei che si possa ritenere che il gestore del mercato sia effettivamente al corrente di attività, fatti o circostanze nel caso in cui A pubblichi una nuova offerta relativa a prodotti identici o simili, recanti il marchio X ad ottobre. In tali circostanze, sarebbe più naturale parlare di una stessa violazione continuata, più che di due violazioni separate. Ricordo che l’art. 14, n. 1, lett. a), menziona le «attività» come uno degli oggetti della conoscenza effettiva. Un’attività in corso riguarda il passato, il presente e il futuro”. In tale occasione, l’Avvocato Generale ha altresì proposto delle soluzioni concrete che, da un lato, terrebbero conto del dettato dell’art. 11, paragrafo 3, della direttiva enforcement e, dall’altro, si porrebbero in sintonia con il divieto di imporre obblighi di sorveglianza generalizzata (cfr. art. 15, paragrafo 1, direttiva e-commenrce): “una limitazione adeguata della portata delle ingiunzioni potrebbe consistere in un duplice requisito di identità. Vale a dire che il terzo autore della violazione dovrebbe essere la medesima persona e i marchi violati dovrebbero essere gli stessi. In tal caso, si potrebbe pronunciare un’ingiunzione contro un intermediario al fine di impedire la continuazione o la reiterazione della violazione di un certo marchio da parte di un determinato utente. Il prestatore di servizi della società dell’informazione potrebbe conformarsi ad un’ingiunzione di questo tipo semplicemente chiudendo l’account cliente dell’utente in questione”. Nel rispondere alle questioni pregiudiziali in commento la Corte ha rigettato l’interpretazione data dall’Avvocato Generale sul rapporto tra considerando 42 e articolo 14 della direttiva 2000/31/CE e –muovendo dal presupposto secondo cui “la eBay procede ad un trattamento dei dati forniti dai suoi clienti venditori. Le vendite alle quali possono condurre tali offerte avvengono secondo modalità fissate dalla eBay. Se necessario, la eBay fornisce anche un’assistenza diretta ad ottimizzare o a promuovere talune offerte in vendita” (punto 114)- ha affermato che ove “detto gestore abbia prestato un’assistenza consistente segnatamente nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte, si deve considerare che egli non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma che ha svolto un ruolo
DIRITTO DI INTERNET N. 3/2020
437
GIURISPRUDENZA EUROPEA attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte. In tal caso non può avvalersi, riguardo a tali dati, della deroga in materia di responsabilità di cui all’art. 14 della direttiva 2000/31” (punto 116).
5. Il dovere di diligenza
Merita infine di essere ricordato che la Corte di Giustizia ha già fornito ulteriori elementi interpretativi in relazione al dovere di diligenza che è legittimo attendersi dal prestatore di servizi on line in occasione della decisione della causa C160/15, GS Media, stabilendo che la qualificazione di un atto di messa a disposizione del pubblico di hyperlink conducenti a opere coperte dal diritto d’autore come atto di comunicazione al pubblico può dipendere dal fatto il soggetto autore del collegamento ipertestuale sia al corrente, o sia tenuto ad esserlo, del fatto che il collegamento ipertestuale da esso collocato fornisca accesso a un’opera illegittimamente pubblicata su Internet, ad esempio perché informato dai titolari del diritto d’autore. Rileva, a tali fini, il fatto che il collocamento di collegamenti ipertestuali sia effettuato a fini lucrativi, di talché “è legittimo aspettarsi che l’autore di tale collocamento realizzi le verifiche necessarie per garantire che l’opera di cui trattasi non sia pubblicata illegittimamente sul sito cui rimandano detti collegamenti ipertestuali, cosicché deve presumersi che tale collocamento sia intervenuto con piena cognizione del fatto che l’opera è protetta” (punto 51).
6. Considerazioni finali
Orbene, non v’è chi non veda, nel comportamento di Amazon la presenza di elementi tali da escludere l’applicabilità del regime di limitazione di responsabilità prevista in favore del fornitore di servizi di hosting: in tal senso si è espressa l’AGCM con Provvedimento n. 25911. Nell’ambito di tale procedimento Amazon si è difesa affermando di operare quale mero hosting provider (punto 70). L’Autorità, muovendo dal principio per cui “la circostanza che il servizio fornito dal gestore di un mercato online comprenda la memorizzazione di informazioni che gli sono trasmesse dai suoi clienti venditori non è di per sé sufficiente per poter concludere che detto servizio rientri, in ogni caso, nell’ambito di applicazione dell’art. 14, n. 1, della direttiva 2000/31”, ha invece ritenuto che “nella fattispecie tale elemento di neutralità (tipico della figura dell’hosting provider delineato dalla norma comunitaria n.d.r.) appare del tutto assente. È pacifico, infatti, che Amazon con riferimento alla piattaforma marketplace oltre ad immagazzinare, vale a dire memorizzare sul proprio server, dati forniti dai suoi clienti, viene ricompensata in quanto riscuote una percentuale sulle operazioni effettuate a partire da tali offerte in vendita; proceda ad un trattamento dei dati forniti dai suoi clienti venditori; predisponga le modalità di vendita; interven-
438
DIRITTO DI INTERNET N. 3/2020
ga nel rapporto effettuando talvolta la spedizione dei beni e addirittura la gestione del recesso; intervenga nel rapporto tramite la propria piattaforma di pagamento; monitori le performances dei venditori; filtri i contatti venditori – consumatori. Infine, se richiesto Amazon fornisce anche un’assistenza diretta ad ottimizzare o a promuovere talune offerte in vendita. In sintesi, la deroga dell’art. 14 della direttiva 2000/31, secondo i criteri dettati dalla Corte di Giustizia, non appare invocabile nel caso di specie in quanto Amazon non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma ha svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte” (punti 74 e 75). Sul punto, va infine ricordato che la recente direttiva 2019/790/CE (sul diritto d’autore nel mercato unico digitale), che espressamente esclude –al ricorrere di certe condizioni- l’applicabilità dell’art. 14 della direttiva 2000/31/CE ai prestatori di servizi di condivisione di contenuti online (cfr. art. 17), in linea di principio non dovrebbe applicarsi ai servizi di mercati online la cui attività principale è la vendita al dettaglio online, ma a condizione che tali servizi non diano accesso a contenuti protetti dal diritto d’autore (cfr. art. 2).
GIURISPRUDENZA CIVILE
Sulle stratificazioni del diritto all’oblio: quando sì e come C orte di Cassazione ; sezione I civile; sentenza 27 marzo 2020, n. 7559; Pres. Giancola; Est. Campese; P.M. De Renzis (concl. parz. conf.); X (Avv. Amodio, Delle Fave, Arignello) c. RCS Mediagroup s.p.a. e RCS Quotidiani s.p.a. (Avv. Malvenda, Sirianni). Rispetto a un archivio storico digitale online di un quotidiano ove siano riportati, in quanto derivanti dall’attività giornalistica di cronaca giudiziaria legittimamente esercitata, dati personali relativi all’attività economica dell’azionista di riferimento di un importante gruppo industriale, posta la necessità di trovare un punto di equilibrio tra opposti interessi (della collettività a ricostruire vicende economiche di perdurante rilevanza storico-sociale e dell’interessato al controllo del dato che lo riguarda), il diritto all’oblio, da ricollegare alla tutela dell’identità personale, non si può considerare leso (sì che non deve darsi ingresso a intervento di cancellazione) qualora l’editore abbia provveduto: a) a escludere l’accessibilità all’articolo contenente i dati in questione con i motori generali di ricerca, così rendendo i contenuti disponibili solo tramite attivazione del motore di ricerca interno all’archivio ed estromettendo azioni di ricerca mosse da ragioni casuali quando non futili; b) a inserire nell’archivio, in calce all’articolo contenente i dati in questione, un aggiornamento sugli ulteriori sviluppi dei procedimenti giudiziari trattati, così preservandone il valore documentaristico conservativo e la totale sovrapponibilità all’archivio cartaceo. Il diritto all’oblio di vicende giudiziarie relative a persona deceduta non può essere fatto valere dal congiunto in proprio, ma solo nella veste di erede.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE 1. X, in proprio e quale figlio legittimo di P., deceduto il (*), propose ricorso al Garante per la protezione dei dati personali, D.Lgs. n. 196 del 2003, ex artt. 145 e ss. in relazione alla pubblicazione, nell’archivio storico del sito Internet de “Il Corriere della Sera”, di due articoli a firma di Z., titolati “I miliardi dell’eredità […]. Firme false e intrighi dietro la Dinasty di Bergamo” del 28 giugno 1994 ed “Eredità miliardaria. È guerra” del 1° aprile 1994. 1.1. Espose che quegli articoli, comparsi illo tempore sull’edizione cartacea de “Il Corriere della Sera”, e successivamente confluiti nell’archivio storico del sito del quotidiano, avevano ad oggetto le vicende riguardanti il rinvio a giudizio e la successiva condanna in primo grado del defunto padre, P, insigne imprenditore per lunghi anni a capo del (*), importante realtà a livello europeo nel campo tipografico. Le suddette pubblicazioni fornivano, a suo dire, una verità parziale, frammentata e fuorviante dei fatti di cronaca giudiziaria, dal momento che non riportavano l’evoluzione della vicenda, per essere stato P. prosciolto, giusta sentenza della Corte di appello di Brescia del 15 ottobre 2001, n. 1948, passata in cosa giudicata. Rilevò che l’attualità della presenza nel sito del quotidiano di una notizia di cronaca giudiziaria, peraltro incompleta e non aggiornata, costituisse un inaccettabile vulnus alla memoria di P., costituendo
un’informazione contraria alla realtà dei fatti, e, dunque, fortemente lesiva dell’onore, della reputazione, della dignità del de cuius ma anche della famiglia tutta che, da sempre, gestisce le società che fanno capo al Gruppo e che con essa si identificano. I due articoli risultavano, invero, facilmente reperibili sulla rete Internet attraverso una ricerca con i comuni motori di ricerca ((*)), circostanza che aumentava il carattere di diffusività dell’informazione errata. Domandò, dunque, la rimozione di quegli scritti dal sito web del “Corriere della Sera” e, in via subordinata, il loro aggiornamento, con richiesta di adozione di tutte le misure tecnicamente idonee ad evitarne la reperibilità attraverso la ricerca con i comuni motori di ricerca. 1.2. L’Autorità Garante, con provvedimento n. 196/2011, variamente motivando, ritenne infondate le richieste di cancellazione dei dati personali relativi al padre defunto dell’istante contenuti negli articoli oggetto di contestazione e di aggiornamento dei medesimi dati; dichiarò, poi, il non luogo a provvedere in ordine alla domanda volta ad escludere l’indicizzazione degli articoli da parte dei motori esterni al sito del quotidiano, avendo il titolare del trattamento fornito, sul punto, un riscontro sufficiente. 2. X, in proprio e nella indicata qualità, impugnò il descritto provvedimento innanzi al Tribunale di Milano chiedendo, in via principale, la rimozione degli articoli
DIRITTO DI INTERNET N. 3/2020
439
GIURISPRUDENZA CIVILE in oggetto dal sito web del “Corriere della Sera”; in via subordinata, che fossero resi anonimi i dati personali contenuti nei menzionati articoli; in via ulteriormente gradata, che venisse ordinato alla società resistente l’aggiornamento delle notizie allora pubblicate aggiungendo al testo “il riferimento al successivo proscioglimento del Y. dichiarato con sentenza della Corte di appello di Brescia del 15/10/2001”. 2.1. Instauratosi il contraddittorio, si costituirono la società editrice RCS Quotidiani s.p.a., sostenendo la correttezza del proprio operato, nonché l’Autorità Garante, rivendicando la legittimità del provvedimento opposto, stante l’assenza di illecito trattamento dei dati personali del ricorrente. Nel corso del relativo giudizio, peraltro, si diede atto che: i) l’articolo “I miliardi dell’eredità […]. Firme false e intrighi dietro la Dinasty di Bergamo “, pubblicato il 28 giugno 1994, risultava effettivamente non più indicizzato, non essendo più accessibile attraverso i motori di ricerca, né direttamente fruibile dagli utenti esterni che accedevano al sito informatico del “Corriere della Sera”, sicché era cessata la materia del contendere in ordine a tutte le domande ad esso afferenti, persistendo la controversia esclusivamente con riguardo all’articolo “Eredità miliardaria. È guerra”; ii) il ricorrente aveva dichiarato di rinunciare alla domanda di rendere anonimi i dati del defunto P., con conseguente cessazione della materia del contendere anche in ordine a tale richiesta; iii) ad analoga determinazione doveva giungersi circa l’aggiornamento apportato dal “Corriere della Sera” in calce all’articolo da ultimo indicato, dove veniva ex novo dato conto dell’esito del procedimento penale allora celebrato nei confronti del defunto. 2.1.1. X, tuttavia, insistè nella domanda di rimozione o, in subordine, di deindicizzazione anche di tale articolo, ma il tribunale, osservato che il testo in esame non era più reperibile attraverso l’utilizzo dei generali motori di ricerca della rete (dalla documentazione allegata dalle parti, invero, emergeva che il testo risultava attualmente raggiungibile esclusivamente dagli internauti che fossero entrati nell’archivio informatico del “Corriere della Sera”), ritenne cessata la materia del contendere anche con riferimento alla richiesta deindicizzazione dai motori di ricerca di quel testo.
440
na cui si riferiscono i dati personali, esclusivo titolare di ogni azione riconosciuta a tutela dei dati che lo riguardano, secondo quanto disposto agli artt. 1 e 4 codice (risultando estraneo al perimetro del presente procedimento il disposto di cui all’art. 9, comma 3 cit. codice, disciplinante il diverso diritto all’accesso ai dati del de cuius in presenza di un interesse personale del terzo, meritevole di tutela)”; che “gli articoli in esame non trattano dati pertinenziali alla persona del ricorrente; ne consegue che, sotto tale profilo, non pare configurabile la legittimazione attiva di P. al promovimento di un’azione ex art. 152 cit. in proprio, ma solo ed in quanto erede del de cuius”; che, a tutto concedere, dai fatti come prospettati dal ricorrente, ne derivava che lo stesso avrebbe agito “in proprio nel presente giudizio a tutela di un vulnus a sè derivante dall’essere (o dall’essere stato) legale rappresentante ed azionista delle società facenti capo al gruppo industriale P. e comunque parte del medesimo gruppo di famiglia”; che, tuttavia, “i componenti della famiglia “ P.” sono soggetti estranei alle parti del presente procedimento, così come il gruppo di società in oggetto”; che “l’odierno ricorrente non risulta del resto agire in qualità di procuratore speciale del gruppo familiare o delle società partecipate”. 2.2.2. Con riferimento, invece, alle domande formulate nella qualità di figlio del defunto P., concluse che “nel bilanciamento tra il diritto del soggetto titolare del dato personale al controllo e finanche al blocco del dato medesimo di derivazione giornalistica ed il contrapposto diritto ad essere informati e ad informare, deve essere tenuto in preminente considerazione l’immenso patrimonio informativo insito in un archivio giornalistico, subordinando il diritto costituzionale della collettività all’informazione ed alla conoscenza solo in presenza di una lesione, o del rischio di essa, da individuarsi in una non emendabile compromissione della propria vita di relazione per effetto del permanere del dato personale in archivio e della sua potenziale divulgazione. Non può, dunque, accedersi alla richiesta cancellazione nell’articolo di stampa in esame dall’archivio informatico del “Corriere della Sera” (cfr. pag. 16 della medesima sentenza).
2.2. Il tribunale, infine, all’esito di un lungo excursus motivazionale, respinse ogni altra domanda spiegata dal ricorrente sia in proprio che nella suddetta qualità.
2.3. Osservò, inoltre, che una siffatta conclusione doveva valere anche per le domande proposte in proprio dal ricorrente ove non si fosse ritenuto di accedere alla prima soluzione già per esse descritta, derivandone, dunque, anche in tal caso, il rigetto della domanda di rimozione e cancellazione dell’articolo in esame.
2.2.1. In particolare, circa quelle in proprio, rimarcò che (cfr., amplius, pag. 15 della sentenza oggi impugnata) “il sistema normativo di protezione del dato personale è univocamente riferibile all’interessato, ossia alla perso-
3. Avverso la riportata sentenza, X. ha proposto ricorso per cassazione affidato a tre motivi, resistiti, con distinti controricorsi, dal Garante per la protezione dei dati personali e da RCS Mediagroup s.p.a., medio tempore
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA CIVILE incorporante, per fusione, la RCS QUotidiani s.p.a. Il ricorrente e la RCS Mediagroup s.p.a. hanno, altresì, depositato memoria ex art. 380-bis.1 c.p.c. 3.1. Con ordinanza interlocutoria del 15/29 novembre 2018, n. 30960, questa Corte ha rinviato la causa a nuovo ruolo, in attesa della decisione delle Sezioni Unite sulla questione di massima di particolare importanza ad esse rimessa dall’ordinanza interlocutoria n. 28084 del 5 novembre 2018. Sopravvenuta tale decisione, è stata nuovamente fissata l’adunanza camerale per trattazione della controversia, in vista della quale X. e la RCS Mediagroup s.p.a. hanno depositato un’ulteriore memoria ex art. 380-bis.1 c.p.c. 4. Il primo motivo, rubricato “Violazione e falsa applicazione di norme di diritto: violazione e falsa applicazione dell’art. 9, comma 3 e art. 7 del Codice Privacy (D.Lgs. n. 196 del 2003) e difetto di motivazione ai sensi dell’art. 360 c.p.c., comma 1, n. 3”, censura la decisione impugnata, ritenendola “palesemente viziata, difettando pure di una congrua e logica motivazione”, laddove ha ritenuto sussistere la legittimazione del ricorrente al promovimento dell’azione esclusivamente nella sua qualità di erede del defunto padre, e non già in proprio, in quanto gli articoli di cui si discorre non trattano dati pertinenziali alla sua persona, non avendo comunque X dedotto in giudizio lesioni riferibili a propri dati personali illecitamente trattati, ovvero lesioni a sé derivanti da un illecito trattamento dei dati del proprio congiunto, da cui ricavare un autonomo vulnus ed un autonomo diritto di tutela. Neppure sarebbe stato dirimente, ad avviso del tribunale, l’argomento di agire a tutela dell’onore e della reputazione della famiglia che da sempre gestisce le società che fanno capo al Gruppo P., non avendo il ricorrente agito nella veste di procuratore speciale del gruppo familiare o delle società facenti capo al gruppo industriale predetto. Assume, invece, il ricorrente di non aver “dedotto in giudizio una lesione diretta o un illecito trattamento di dati riguardanti la propria persona”, ma di aver “correttamente azionato, avendone un interesse proprio sub specie di tutela del proprio nome, della propria reputazione ed immagine sociale, l’esercizio dei diritti di cui al D.Lgs. n. 196 del 2003, art. 7, essendo a tanto legittimato sulla base dell’art. 9, comma 3 medesimo decreto, rispetto al trattamento dei dati del defunto padre, a garanzia di una corretta dimenticanza - anche a propria tutela - di quei fatti di cronaca giudiziaria”, e di aver “agito per ragioni familiari sulla scorta di interessi evidentemente meritevoli di tutela, ma non effettivamente nella veste di procuratore di alcuno”. La sentenza impugnata, dunque, doveva essere annullata, “in considerazione della violazione e falsa applicazione di legge ritualmente rilevati, sul presupposto
che sussiste un interesse esercitabile in proprio da parte dell’odierno ricorrente ed una disposizione normativa che consente l’esercizio dei diritti per i quali è stata azionata la tutela” (cfr. pag. 11 del ricorso). 4.1. Il secondo motivo prospetta un “Omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti. Insufficiente e contraddittoria motivazione sulla scorta delle risultanze probatorie prodotte in atti, ai sensi dell’art. 360 c.p.c., comma 1, n. 5”. Si assume che l’articolo titolato “Eredità miliardaria. È guerra”, oggetto di aggiornamento da parte di RCS Quotidiani, oltre che essere rimasto all’interno del sito del quotidiano e reperibile attraverso il motore di ricerca della pagina web dell’archivio storico, viene pescato come primo risultato attraverso una ricerca effettuata con i comuni motori bing.it e yahoo.it digitando le stringhe di ricerca “ P.- eredità”, con un rimando alla pagina dell’archivio storico del Corriere, tanto cha ancora oggi risulta così indicizzato. Il Tribunale di Milano, tuttavia, sulla domanda del ricorrente di deindicizzare l’articolo dai comuni motori di ricerca esterni al corriere.it, aveva inaspettatamente concluso pronunciando la cessazione della materia del contendere (motivando nel senso che “il testo in esame non è più reperibile attraverso l’utilizzo dei generali motori di ricerca della rete; dalla documentazione allegata dalle parti... emerge che il testo risulta ad oggi reperibile esclusivamente dagli internauti che entrino nell’archivio informatico del Corriere della Sera...”), decisione palesemente viziata, erronea e contraddittoria, motivata sulla scorta di evidenze probatorie versate in atti che smentiscono quanto asserito dal tribunale. 4.2. Il terzo motivo lamenta “Violazione e falsa applicazione di norme di diritto: violazione e falsa applicazione degli artt. 2, 4, 7, 11, 23, 101, 102 Codice Privacy (D.Lgs. n. 196 del 2003), dell’art. 6 della Direttiva Comunitaria n. 95/46 e dell’art. 2 Cost., in riferimento all’art. 360 c.p.c., comma 1, n. 3. Insufficienza e contraddittoria motivazione”. Si censura la decisione del tribunale milanese che, dopo un lungo excursus sul bilanciamento degli interessi contrapposti nell’era digitale - diritto al controllo del dato come espressione del principio generale di cui all’art. 11 Codice Privacy, di cui il diritto all’oblio costituisce specificazione; diritto dei cittadini ad essere informati e diritto dei mezzi di comunicazione ad informare “nel tempo”, ove il dato sia trattato correttamente e permanga l’interesse alla sua conoscenza -, era giunto a negare la tutela richiestagli sia sotto il profilo della deindicizzazione dell’articolo dal motore di ricerca interno all’archivio storico del (*), sia con riguardo alla richiesta di rimozione/cancellazione totale dal suddetto archivio. Si sostiene che i dati concernenti la
DIRITTO DI INTERNET N. 3/2020
441
GIURISPRUDENZA CIVILE vicenda P. riportati negli articoli di stampa non sono, come, invece, erroneamente ritenuto dal giudice a quo, dati economici o riguardanti l’attività economica esercitata, bensì dati giudiziari. Posto, allora, che “l’interesse sociale di “fare memoria” di quei fatti di cronaca giudiziaria, anche in relazione alla modalità del trattamento prescelta dal titolare e della sua potenziale diffusività e lesività, ed in assenza di evidenti e particolari esigenze di carattere storico, didattico, culturale (per richiamare la pronuncia di questa Corte n. 5525/2012), deve cedere il passo ai diritti ed alle libertà enunciate dall’art. 2 Codice Privacy, tra cui il diritto alla riservatezza, trasmodando altrimenti i limiti del trattamento pertinente, non eccedente e dunque lecito”, si ascrive alla pronuncia impugnata di essere incorsa “in una palese violazione del D.Lgs. n. 196 del 2003, artt. 2, 7 e 11, nel ritenere prevalente l’interesse della collettività, “e in particolare del mondo economico”, alla conoscenza della ormai “storica” notizia, pur in assenza di particolari esigenze che giustifichino la permanenza del dato in un archivio liberamente accessibile e creato in relazione alle (nuove) finalità storico-documentaristiche; di tal che il trattamento posto in essere dal Corriere oggi è eccedente e non pertinente rispetto alle sue finalità secondo quanto previsto dall’art. 11, dovendo prevalere il potere di controllo dell’interessato sui dati, in ragione del preminente diritto di riservatezza, protezione dei dati personali e dignità che nell’art. 2 del Codice trovano fondamento” (cfr. pag. 19 del ricorso). 5. Precisandosi, fin da ora, che i riferimenti agli articoli di cui al D.Lgs. n. 196 del 2003 devono intendersi effettuati ai rispettivi testi (applicabili ratione temporis) anteriori alle modifiche apportategli dal D.Lgs. 10 agosto 2018, n. 101, ritiene il Collegio di dover anteporre l’esame del terzo motivo allo scrutinio dei primi due, apparendo del tutto evidente il carattere centrale di esso, rispetto agli altri, sintetizzabile nell’assunto secondo cui le finalità giornalistiche giustificative della pubblicazione, all’epoca delle vicende giudiziarie che avevano coinvolto P. (padre, medio tempore deceduto, dell’odierno ricorrente), dei dati inerenti la sua persona in articoli che narravano le vicende stesse, vere e note, si sarebbero del tutto attenuate in forza del lunghissimo tempo trascorso, rendendo, così, affatto lecita la domanda, oggi proposta da suo figlio, di tutela della riservatezza e del riconoscimento del conseguente diritto all’oblio. Si tratta, in altri termini, e come condivisibilmente rimarcato dal sostituto procuratore generale nella sua requisitoria scritta (cfr. pag. 5), di “ragionare su quali siano i dati aventi una rilevanza storica o semplicemente storiografica, la conservazione dei quali è prevalente rispetto al diritto del singolo ad essere dimenticato dal contesto storico-sociale (right to be left alone) ed al diritto
442
DIRITTO DI INTERNET N. 3/2020
del singolo a mantenere il controllo dei dati relativi alla propria sfera personale fino al punto da poterne esigere la cancellazione quando siano venute meno le esigenze che ne hanno suggerito la raccolta e la diffusione”. Le argomentazioni che su tale motivo saranno svolte, e le conclusioni conseguentemente adottate, del resto, si riveleranno incidenti sull’esito degli altri. 5.1. Va immediatamente sgomberato il campo dal profilo riguardante il vizio motivazionale pure prospettato con tale censura, essendo l’assunto del tribunale, in parte qua, puntuale e comprensibile, dunque non apparente, sicché si sottrae al sindacato di legittimità ai sensi della nuova formulazione dell’art. 360 c.p.c., comma 1, n. 5, nel testo introdotto dal D.L. n. 83 del 2012, art. 54, convertito, con modificazioni, dalla L. n. 134 del 2012 (qui utilizzabile ratione temporis, risultando impugnata una sentenza resa il 17 febbraio 2014). Come ormai noto, tale normativa, circoscrivendo il vizio di motivazione deducibile mediante il ricorso per cassazione all’omesso esame di un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parli, costituisce espressione della volontà del legislatore di ridurre al minimo costituzionale l’ambito del sindacato spettante al giudice di legittimità in ordine alla motivazione della sentenza, restringendo l’anomalia motivazionale denunciabile in questa sede ai soli casi in cui il vizio si converte in violazione di legge, per mancanza del requisito di cui all’art. 132 c.p.c., n. 4, ossia alle ipotesi in cui la motivazione manchi del tutto sotto l’aspetto materiale e grafico, oppure formalmente esista come parte del documento, ma le sue argomentazioni siano svolte in modo talmente contraddittorio da non permettere d’individuarla, cioè di riconoscerla come giustificazione del decisum, e tale vizio emerga immediatamente e direttamente dal testo della sentenza (cfr. Cass., SU, nn. 8053 e 8054 del 2014; Cass. n. 21257 del 2014). Fattispecie, qui, certamente non ravvisabili. 5.2. Quanto, invece, al prospettato vizio di violazione di legge, va preliminarmente osservato che il cd. diritto all’oblio ha ricevuto il suo, primo, esplicito riconoscimento in Cass. n. 3679 del 1998, nella cui motivazione si legge, tra l’altro, che esso deve intendersi “...come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore ed alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata...”, a meno che - veniva ivi precisato - non vi fossero “fatti sopravvenuti” idonei a far tornare d’attualità la notizia: una precisazione volta a contemperare diritti della personalità e diritto di cronaca, che avrebbero, poi, trovato un tentativo di codificazione nel D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. e), laddove è sancito l’obbligo di conservare i dati in una forma
GIURISPRUDENZA CIVILE che permetta di identificare l’interessato per un periodo non eccedente quello necessario al perseguimento degli scopi avuti di mira all’atto della raccolta o nel successivo sviluppo del trattamento. Norma che va letta in combinato disposto con il precedente art. 7, comma 3, lett. b), relativo al diritto dell’interessato di chiedere al titolare del trattamento la cancellazione o la trasformazione delle sue informazioni personali, e che sviluppa il cd. diritto di libertà informatica nella sua duplice forma e versione: come libertà negativa, consistente nel diritto ad essere dimenticato, e come libertà positiva, ovvero come potere di controllo sui propri dati personali. 5.3. Il diritto all’oblio, generato dalla giurisprudenza e consolidato dalla legislazione, ha, però, come appresso si vedrà, dovuto fare i conti con Internet, la rete delle reti, dove tutto ciò che è stato inserito nel web rimane una memoria illimitata e senza tempo, ovvero un deposito di dati di dimensioni globali, sia pure, come è stato detto usando una metafora, trattandosi di “pagine isolate di libri custoditi in mille diverse biblioteche”. Infatti, nell’ambito del web la ripubblicazione non è più necessaria, dal momento che l’informazione, una volta inserita, in genere non è più cancellata, ma permane disponibile o quanto meno astrattamente disponibile. Se, allora, nella concezione originaria del diritto all’oblio, legata all’identità della persona ed alla sua riservatezza, si ha riguardo ad una riproposizione al pubblico di una notizia a distanza di tempo, con le nuove tecnologie, ed in presenza dei dati sul web, ciò che rileva non è solo, o necessariamente, la riproposizione dei fatti quanto, piuttosto, la loro permanente accessibilità. L’aspetto di maggior rilievo in questa seconda ipotesi è, quindi, dato dal tempo di permanenza dell’informazione, trattandosi non tanto e non solo di un evento che si ripropone all’attenzione del pubblico, bensì di un evento che potenzialmente mai è uscito dalla sua attenzione. Ciò che cambia, pertanto, è il ruolo del tempo e l’esigenza che si intende soddisfare. Nasce da qui la richiesta di poter ottenere la cancellazione dei propri dati dalla rete quando sia venuta meno la finalità per la quale se ne è consentito l’uso, e, soprattutto, quando non sussistano più i motivi che possono aver giustificato la loro diffusione. Il diritto all’oblio, in questa dimensione, assume il significato precipuo di diritto alla cancellazione dei dati e dei riferimenti che si ritiene che ledano la propria persona e la richiesta può riguardare un insieme ampio di destinatari, sia il soggetto che li ha inseriti originariamente, sia gli archivi che li contengono, sia i motori di ricerca che ne amplificano la risonanza, sia chiunque altro ne riproduca il contenuto, riportando direttamente la notizia o inserendovi un link, attraverso le pagine di un sito o di un social network.
5.4. Come ancora recentemente spiegato da questa Corte (cfr. Cass. n. 6919 del 2018), dunque, l’esistenza del diritto all’oblio è stata affermata, sia nella giurisprudenza europea che in quella nazionale, con riferimento a fattispecie nelle quali si è sempre posta l’esigenza di un contemperamento tra due diversi diritti fondamentali: il diritto di cronaca, posto al servizio dell’interesse pubblico all’informazione, ed il diritto della persona a che certe vicende della propria vita, che non presentino più i caratteri dell’attualità, ovverosia che non siano più suscettibili di soddisfare un interesse apprezzabile della collettività a conoscerle, non trovino più diffusione da parte dei media. Correlato a tale diritto, ed in un certo senso ad esso strumentale, poiché finalizzato ad assicurarne il soddisfacimento, è, inoltre, il diritto ad ottenere la rimozione, da elenchi, o archivi, o registri, del proprio nominativo, in relazione a fatti e vicende che non presentino più il suddetto carattere dell’attualità. 5.4.1. Merita, peraltro, di essere rimarcato che, generalmente, si tratta di vicende sorte in periodi caratterizzati da una circolazione dei dati in qualche modo più lenta, dove il diritto alla riservatezza era inteso come tutela dell’esigenza di intimità della propria vita familiare contro ingerenze altrui, e, più in generale, contro la “curiosità pubblica”, e dove le minacce provenivano prevalentemente dalla ripubblicazione a mezzo stampa di vecchie vicende personali. Nelle sue diverse definizioni, quali diritto a non rievocare vicende dolorose o altrimenti lesive, ovvero ad essere dimenticati, il diritto all’oblio era, quindi, ricondotto sotto l’alveo del diritto alla riservatezza. Con l’avvento delle nuove tecnologie e della rete, però, l’intero scenario relativo all’esigenza di tutela della riservatezza della persona è - come si è già anticipato - profondamente mutato. È emersa, innanzitutto, l’esigenza per l’individuo di gestione, di controllo e di dominio dei propri dati legittimamente usciti dalla sfera di intimità, e con essa sono affiorati i limiti di tale ultimo diritto “in negativo”, inteso come diritto a preservare la propria sfera intima da intrusioni esterne mediante la divulgazione di fatti o notizie. È stato riconosciuto, pertanto, un nuovo diritto della personalità, il quale viene generalmente affiancato a quello della riservatezza: quello alla protezione dei dati personali. Dal diritto ad essere lasciati soli si è passati alla libertà di poter disporre dei propri dati: un passaggio da una concezione statica ad una concezione dinamica della tutela della privacy. In questo nuovo scenario dominato da un’inarrestabile circolazione dei dati è mutata, altresì, in parallelo, l’intera struttura del diritto all’oblio. In primis, va osservato come esso fosse un diritto prevalentemente elitario, poiché solitamente gli articoli di cronaca concernevano persone note (per vicende giudiziarie, politiche, etc.); oggi, invece, la necessità di essere tutelati è condivisa dalla generalità dei consociati: siamo tutti diventati
DIRITTO DI INTERNET N. 3/2020
443
GIURISPRUDENZA CIVILE potenziali protagonisti, esposti al pubblico dominio, con una identità personale da proteggere. Con riferimento, poi, in particolare, ai giornali ed al diritto di cronaca, la rete e la sua memoria infinita hanno rappresentato, da un lato, un’importantissima agevolazione, considerato che, prima, tutte le ricerche venivano effettuate attraverso la consultazione, a volte faticosa, di archivi cartacei; dall’altro, però, ha aumentato l’esigenza di gestione e controllo di queste notizie, sempre più numerose e spesso decontestualizzate. Tale ultima nuova esigenza ha portato ad una rimeditazione del diritto stesso. La giurisprudenza e la dottrina lo hanno, infatti, ricollegato non più al diritto alla riservatezza, ma alla tutela dell’identità personale del soggetto, alla corretta informazione (oltre che al diritto dei cittadini ad essere informati correttamente tramite l’aggiornamento di notizie parziali). Il cittadino ha, infatti, il diritto ad essere rappresentato, nella realtà esterna della vita di relazione, con la propria identità ed a non vedere quindi “travisato o alterato all’esterno il proprio patrimonio intellettuale, etico, ideologico, professionale”. Il diritto all’oblio viene, quindi, concepito come diritto al controllo della diffusione delle scelte fatte in passato. Il cambio di prospettiva non poteva essere più radicale: dall’oblio/cancellazione all’aggiunta/contestualizzazione, dalla riservatezza all’identità sociale del soggetto. La nuova accezione assunta dal diritto all’oblio con riferimento al mondo della rete, però, deve essere estesa anche alla realtà off line, da cui ha avuto origine. Altrimenti vi è il rischio che tale ultima realtà rimanga indietro rispetto a quella digitale, poiché ancorata alla vecchia definizione legata al diritto alla riservatezza e poco attenta alle dinamiche della nuova società dell’informazione. Impedire il distacco tra i due mondi, quello reale e quello digitale, con riferimento al cambio di prospettiva che ha interessato il diritto all’oblio, è necessario altresì al fine di evitare la permanenza all’interno dell’ordinamento di un diritto con due significati differenti. Altrimenti il soggetto potrà ottenere comunque la contestualizzazione dei dati, ma sulla base di iter motivazionali diversi a seconda della realtà di riferimento. 5.5. Posto, allora, che non vi può essere una vera e propria pretesa alla cancellazione del proprio passato, si comprende che il vero problema è rappresentato dalla distorsione dell’immagine del soggetto, costruita col tempo dopo la vicenda oramai dimenticata, provocata dalla riemersione della notizia. In quest’ottica, dunque, vanno esaminate le decisioni, che, in ambito europeo e nazionale, hanno affrontato il tema oggi in esame. 5.5.1. In ambito europeo, la Corte di giustizia UE e la Corte EDU sono state più volte chiamate a pronunciarsi in materia, tracciando le linee direttrici del bilanciamento tra i due diritti fondamentali suindicati, successi-
444
DIRITTO DI INTERNET N. 3/2020
vamente seguite dalla giurisprudenza degli Stati membri e/o contraenti. 5.5.2. In una vicenda concernente il trattamento di dati personali da parte di un motore di ricerca ((*)), la Corte di giustizia ha, invero, affermato che siffatta attività “può incidere significativamente sui diritti fondamentali al rispetto della vita privata ed alla protezione dei dati personali”, atteso che - muovendo dal nominativo di una persona - è possibile, per qualsiasi utente di Internet, accedere ad una visione complessiva strutturata delle informazioni relative a quella persona presenti in rete. Il che impone la ricerca di un giusto equilibrio tra l’interesse degli utenti di Internet all’informazione ed i diritti fondamentali della persona, previsti dall’art. 8 della CEDU, artt. 7 e 8 della Carta di Nizza, art. 12, lett. b) e art. 14, comma 1, lett. a), della Direttiva 95/46/CE, relativa alla tutela delle persone fisiche. E ciò con particolare riferimento ai casi nei quali sussiste un diritto dell’interessato all’oblio su determinati fatti o vicende che non rivestono più interesse alcuno per il pubblico. Orbene, la Corte ha affermato che l’art. 12, lett. b) e art. 14, comma 1, lett. a), della Direttiva 95/46/CE devono essere interpretati nel senso che, nel valutare i presupposti di applicazione di tali disposizioni, si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, per il tempo decorso, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome. E ciò a prescindere dal fatto che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Per cui, considerato che quest’ultimo può, sulla scorta dei suoi diritti fondamentali derivanti dagli artt. 7 e 8 della Carta di Nizza, chiedere che l’informazione in questione divenuta ormai non più di interesse apprezzabile per la collettività - non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. L’unica eccezione a tale affermata prevalenza dei diritti fondamentali della persona interessata, e segnatamente del diritto all’oblio, è stata ravvisata dalla Corte nella sola ipotesi in cui “risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi” (cfr. Corte giustizia, 13/05/2014, C- 131/12, Google Spain).
GIURISPRUDENZA CIVILE 5.5.2.1. Sul tema del trattamento dei dati personali ed il diritto alla loro cancellazione, la Corte di giustizia è ritornata con la sentenza 9 marzo 2017, C-398/15, Manni, con particolare riferimento ai dati soggetti a pubblicità nel registro delle imprese, su una questione pregiudiziale sollevata dalla Corte di cassazione. Secondo la ricostruzione della Corte di giustizia, spetta agli Stati membri determinare se le persone fisiche possano chiedere all’autorità incaricata della tenuta, rispettivamente, del registro centrale, del registro di commercio o del registro delle imprese di verificare, in base ad una valutazione da compiersi caso per caso, se sia eccezionalmente giustificato, per ragioni preminenti e legittime connesse alla loro situazione particolare, decorso un periodo di tempo sufficientemente lungo dopo lo scioglimento della società interessata, limitare l’accesso ai dati personali che le riguardano, iscritti in detto registro, ai terzi che dimostrino un interesse specifico alla loro consultazione. 5.5.2.2. Il tema potrebbe riservare degli ulteriori sviluppi. Nelle sue conclusioni presentate il 10 gennaio 2019 nella causa C-507/17, Google Inc. c. Commission nationale de l’informatique et des libertes (CNIL), su rinvio pregiudiziale del Consiglio di Stato francese, l’Avvocato generale ha proposto alla Corte di limitare all’ambito dell’Unione Europea la deindicizzazione alla quale devono procedere i gestori di motori di ricerca. Lo stesso giorno, l’Avvocato generale ha presentato le sue conclusioni anche nella causa C-136/17, G. C., A. F., B. H., E. D. c. Commission nationale de l’informatique et des libertes (CNIL), sollevato sempre dal Consiglio di Stato e che affronta tematiche in parte analoghe. In quest’ultimo caso, la proposta rivolta alla Corte è duplice: da un lato, affermare, di regola, che i collegamenti Internet a dati sensibili dovrebbero, su richiesta, essere sistematicamente rimossi dall’operatore del motore di ricerca; dall’altro, riconoscere la necessità di rispettare la libertà di espressione. L’Avvocato generale ha così invitato la Corte ad interpretare la sua sentenza su (*) in modo da tenere in debito conto la libertà di espressione. 5.5.3. Dal canto suo, la Corte EDU - con riferimento ad una vicenda nella quale un cittadino tedesco, che rivestiva una posizione politica ed imprenditoriale di grande rilievo in Germania, aveva chiesto la cancellazione dal web dei dati informativi relativi ad un episodio di collusione con la criminalità russa risalente a diversi anni prima, ripubblicati alcuni anni dopo dalla stampa - ha ritenuto che l’interesse del pubblico all’informazione prevalesse su quello del singolo all’oblio, ma sulla base di specifici e tassativi criteri, la cui sussistenza deve essere sempre riscontrata, ai fini di riconoscere siffatta prevalenza. In primo luogo, deve per vero - sussistere
il contributo dell’articolo ad un “dibattito di interesse pubblico”, in relazione al “grado di notorietà del soggetto”; requisito, questo, ritenuto dalla Corte sussistente nel caso concreto, in quanto - pur trattandosi di una notizia risalente nel tempo - erano emersi nuovi sospetti a carico del medesimo individuo, molto noto al pubblico trattandosi di un uomo di affari impegnato anche in politica. Occorre, poi, avere riguardo alle “modalità impiegate per ottenere l’informazione” ed al “contenuto della pubblicazione”, che devono, non soltanto, riferirsi a notizie vere, accertate come tali sulla base di “fonti affidabili e verosimili”, ma essere, altresì, non eccedenti rispetto allo scopo informativo; e tali sono state ritenute nel caso di specie, avendo la Corte accertato che dette modalità erano “prive di (...) insinuazioni o considerazioni personali”, e che il giornale aveva informato l’interessato dell’imminente pubblicazione dell’articolo, per consentirgli di esercitare il suo diritto di replica prima della divulgazione della notizia (cfr. Corte EDU, 19/10/2017, Fuchsmann c/o Germania). 5.5.3.1. Di rilievo appare anche l’ulteriore decisione del 28 giugno 2018, M.L. e W.W. c. Germania, ricorsi n. 60798/10 e n. 65599/10. Riguardo ai confini del diritto alla cancellazione dei propri dati, la Corte EDU ha affermato che, in sede di bilanciamento tra gli opposti interessi, il diritto di cronaca e la libertà di espressione (tutelati dall’art. 10 della Convenzione Europea) prevalgono sul diritto a essere dimenticati, qualora si sia in presenza di gravi fatti legati alla cronaca giudiziaria. La pronuncia ha riconosciuto che la protezione dei dati personali svolge un ruolo fondamentale nell’esercizio del diritto al rispetto della vita privata e familiare sancito dall’art. 8 della Convenzione che sancisce, in particolare, il diritto a una forma di “autodeterminazione informativa”; ciò autorizza le persone ad invocare il loro diritto alla vita privata in relazione ai dati che, ancorchè neutrali, sono raccolti, elaborati e divulgati alla comunità, secondo forme o modalità tali che i loro diritti ai sensi dell’art. 8 possano essere coinvolti. Tuttavia, ha precisato la Corte, affinché l’art. 8 sia preso in considerazione, l’attacco alla reputazione personale deve raggiungere un certo livello di gravità ed essere stato realizzato in modo tale da pregiudicare il godimento personale del diritto al rispetto della vita privata. Allo stesso modo, questa disposizione non può essere invocata per lamentarsi di un pregiudizio alla reputazione che risulterebbe in modo prevedibile dalle sue stesse azioni, come ad esempio nel caso di un illecito penale. 5.5.3.2. Merita di essere ricordata, infine, la pronuncia del 4 dicembre 2018, Magyar Jeti Zrt c. Ungheria, ricorso n. 11257/16, in cui la Corte EDU, richiamando la sua giurisprudenza, ha posto l’attenzione sul ruolo svolto
DIRITTO DI INTERNET N. 3/2020
445
GIURISPRUDENZA CIVILE dai siti Internet per l’esercizio della libertà di espressione, evidenziando che, alla luce della sua accessibilità e della sua capacità di memorizzare e comunicare vaste quantità di informazioni, Internet gioca un ruolo importante nel potenziare l’accesso alle notizie, facilitando la diffusione delle informazioni in generale, pur ricordando, al tempo stesso, che il rischio di danno derivante dai contenuti e dalle comunicazioni su Internet all’esercizio ed al godimento dei diritti umani e delle libertà, in particolare il diritto al rispetto della vita privata, è certamente superiore a quello che può derivare dalla stampa. 5.5.4. Anche la giurisprudenza nazionale si è espressa in senso sostanzialmente conforme a tali affermazioni delle corti europee. 5.5.4.1. Si è, infatti, osservato che, in tema di diffamazione a mezzo stampa, il diritto del soggetto a pretendere che proprie, passate, vicende personali non siano pubblicamente rievocate (cd. diritto all’oblio) trova limite nel diritto di cronaca solo quando sussista un interesse effettivo ed attuale alla loro diffusione, nel senso che quanto recentemente accaduto trovi diretto collegamento con quelle vicende stesse e ne rinnovi l’attualità, diversamente risolvendosi il pubblico ed improprio collegamento tra le due informazioni in un’illecita lesione del diritto alla riservatezza (cfr. Cass. n. 16111 del 2013). Pertanto, l’editore di un quotidiano che memorizzi nel proprio archivio storico della rete Internet le notizie di cronaca, mettendole così a disposizione di un numero potenzialmente illimitato di persone, è tenuto ad evitare che, attraverso la diffusione di fatti anche remoti, senza alcun interesse pubblico pregnante ed attuale, possa essere leso il diritto all’oblio delle persone che vi furono coinvolte (cfr. Cass. n. 5525 del 2012). 5.5.4.2. Più di recente, si è ribadito che la persistente pubblicazione e diffusione, su un giornale on line, di una risalente notizia di cronaca esorbita, per la sua oggettiva e prevalente componente divulgativa, dal mero ambito del lecito trattamento di archiviazione o memorizzazione on line di dati giornalistici per scopi storici o redazionali, configurandosi come violazione del diritto alla riservatezza quando, in considerazione del tempo trascorso, sia da considerarsi venuto meno l’interesse pubblico alla notizia stessa (cfr. Cass. n. 13161 del 2016). 5.5.4.3. E perfino con riferimento alla conservazione di dati contenuti in registri tenuti da soggetti pubblici (nella specie, una Camera di commercio), istituzionalmente finalizzati a consentire l’accesso della collettività a fatti e vicende concernenti gli operatori economici, questa Corte ha, da ultimo, precisato - alla stregua di quanto chiarito, al riguardo dalla già menzionata decisione del-
446
DIRITTO DI INTERNET N. 3/2020
la Corte di Giustizia, 9/3/2017, C-398, Manni - che, in tema di trattamento dei dati personali, ai sensi dell’art. 8 CEDU, nonché degli artt. 7 e 8 cd. “Carta di Nizza”, l’interessato non ha diritto ad ottenere la cancellazione dei dati iscritti in un pubblico registro ed è legittima la loro conservazione. Ma ciò esclusivamente allorquando essa sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del Paese, alla difesa dell’ordine ed alla prevenzione dei reati, alla protezione della salute o della morale o alla protezione dei diritti e delle libertà altrui (cfr. Cass. n. 19761 del 2017). 5.6. Da tale quadro normativo - desumibile da un reticolo di norme nazionali (art. 2 Cost., art. 10 c.c., L. n. 633 del 1941, art. 97) ed europee (art. 8 CEDU e art. 10, comma 2 CEDU, artt. 7 e 8 Carta di Nizza) - e giurisprudenziale di riferimento, poi, Cass. n. 6919 del 2018 ha tratto la conclusione che “il diritto fondamentale all’oblio può subire una compressione, a favore dell’ugualmente fondamentale diritto di cronaca, solo in presenza di specifici e determinati presupposti: 1) il contributo arrecato dalla diffusione dell’immagine o della notizia ad un dibattito di interesse pubblico; 2) l’interesse effettivo ed attuale alla diffusione dell’immagine o della notizia (per ragioni di giustizia, di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali), da reputarsi mancante in caso di prevalenza di un interesse divulgativo o, peggio, meramente economico o commerciale del soggetto che diffonde la notizia o l’immagine; 3) l’elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella vita pubblica e, segnatamente, nella realtà economica o politica del Paese; 4) le modalità impiegate per ottenere e nel dare l’informazione, che deve essere veritiera (poichè attinta da fonti affidabili, e con un diligente lavoro di ricerca), diffusa con modalità non eccedenti lo scopo informativo, nell’interesse del pubblico, e scevra da insinuazioni o considerazioni personali, così da evidenziare un esclusivo interesse oggettivo alla nuova diffusione; 5) la preventiva informazione circa la pubblicazione o trasmissione della notizia o dell’immagine a distanza di tempo, in modo da consentire all’interessato il diritto di replica prima della sua divulgazione al grande pubblico. In assenza di tali presupposti, la pubblicazione di una informazione concernente una persona determinata, a distanza di tempo da fatti ed avvenimenti che la riguardano, non può che integrare, pertanto, la violazione del fondamentale diritto all’oblio, come configurato dalle disposizioni normative e dai principi giurisprudenziali suesposti”.
GIURISPRUDENZA CIVILE 5.7. Infine, occorre dare conto della recente Cass., SU, 22 luglio 2019, n. 19681, così ufficialmente massimata: “In tema di rapporti tra diritto alla riservatezza (nella sua particolare connotazione del cd. diritto all’oblio) e diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito - ferma restando la libertà della scelta editoriale in ordine a tale rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. - ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito. In caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva. (Fattispecie relativa ad un omicidio commesso ventisette anni prima, il cui responsabile aveva scontato la relativa pena detentiva e si era reinserito positivamente nel contesto sociale)”. 5.7.1. In tale occasione, le Sezioni Unite, all’esito della svolta panoramica della giurisprudenza nazionale ed Europea, hanno premesso (cfr. pag. 18-19 della motivazione) che, “quando si parla di diritto all’oblio, ci si riferisce, in realtà, ad almeno tre differenti situazioni: quella di chi desidera non vedere nuovamente pubblicate notizie relative a vicende, in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione; quella, connessa all’uso di Internet ed alla reperibilità delle notizie nella rete, consistente nell’esigenza di collocare la pubblicazione, avvenuta legittimamente molti anni prima, nel contesto attuale (è il caso della sentenza n. 5525 del 2012); e quella, infine, trattata nella citata sentenza Google Spain della Corte di giustizia dell’Unione Europea, nella quale l’interessato fa valere il diritto alla cancellazione dei dati”. Successivamente, però, hanno chiarito di voler contenere il proprio intervento nomofilattico al solo caso - corrispondente alla concreta vicenda sottoposta al suo esame - delle notizie di cronaca “stampata” vere, legittimamente diffuse, ma oggetto di una nuova pubblicazione quando sia trascorso un apprezzabile lasso di tempo, così limitando il campo di indagine rispetto agli orizzonti, più ampi, posti dalla Sezione remittente con riferimento al generale utilizzo di Internet, precisando (cfr. pag. 19 della medesima motivazione) che tale “scelta di delimitare il campo di indagine non è frutto di un arbitrio decisionale, ma della semplice constatazione per cui ogni pronuncia giudiziaria trova il proprio limite nel collegamento con una vicenda concreta”, posto
che “alle Sezioni Unite non è affidata “l’enunciazione di principi generali e astratti o di verità dogmatiche sul diritto, ma la soluzione di questioni di principio di valenza nomofilattica pur sempre riferibili alla specificità del singolo caso della vita” (sentenze 22 maggio 2018, n. 12564, n. 12565, n. 12566 e n. 12567). In coerenza, quindi, con i limiti del petitum e con le funzioni istituzionali della Suprema Corte, la presente decisione si atterrà ai confini ora indicati”. 5.7.2. Così circoscritto il loro campo di indagine, le Sezioni Unite hanno mutato la prospettiva dell’analisi rispetto all’ordinanza di rimessione, ritenendo che, nel caso sottoposto al loro esame, non venisse in gioco il bilanciamento tra diritto all’oblio e diritto di cronaca, quanto, piuttosto, il bilanciamento tra il diritto all’oblio ed il diritto alla “rievocazione storiografica” di eventi passati, ossia il diritto di diffondere nuovamente, nel momento presente, una notizia del passato, che nel momento passato era stato legittimo diffondere sulla base del diritto di cronaca. Ebbene, individuati in tal modo i due “parametri” da porre agli estremi del bilanciamento, le Sezioni Unite hanno affermato che nella rievocazione storica di vicende concernenti eventi del passato, è necessario valutare la sussistenza di un interesse pubblico, concreto ed attuale, alla menzione degli elementi identificativi delle persone che di quelle vicende furono protagonisti. Tale menzione, secondo il Supremo Collegio, deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito: in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva. 5.7.3. Non appare opportuno, a questo punto, indugiare oltre sull’appena descritta sentenza delle Sezioni Unite, posto che la specifica delimitazione del campo di indagine come dalla stessa effettuato ha precluso l’esame di vicende come quella su cui, oggi, invece, questo Collegio è chiamato a pronunciarsi, la cui peculiarità va ricercata nella necessità di stabilire se gli archivi storici on line possiedano una sorta di primato, garantito dalla libertà di stampa e di informazione (art. 21 Cost.), alla conservazione storica di fatti e vicende concernenti eventi del passato. 5.7.3.1. Invero, come giustamente osservato dal sostituto procuratore generale nella sua requisitoria scritta (cfr. pag. 7-8), “l’archivio storico del quotidiano, (...), per non snaturare la sua funzione, deve contenere tutti gli articoli pubblicati su tutte le edizioni, nella loro
DIRITTO DI INTERNET N. 3/2020
447
GIURISPRUDENZA CIVILE originaria forma e contenuto, e non può subire “amputazioni” a pena di perdere il carattere di storicità e di completezza che lo caratterizza. Il trattamento dei dati archiviati on line non è caratterizzato da finalità giornalistiche (come accade, invece, al momento della sua pubblicazione o nel caso di una “nuova pubblicazione” nell’ambito di una “nuova iniziativa giornalistica”) ma avviene a fini documentaristici, nell’ambito di un archivio liberamente consultabile nella rete Internet che si avvale dei meccanismi di recupero del dato tipici della rete. A differenza degli archivi cartacei, gli archivi on line sono accessibili con facilità, ma occorre ragionare se giuridicamente può essere ipotizzabile una tutela delle informazioni contenute nel solo archivio cartaceo a differenza dell’archivio on line che, per i mezzi di cui si avvale, presenta una maggiore lesività nel trattamento del dato. (...) Se è vero quanto evidenziato dalla difesa della parte contro ricorrente, cioè che, consultando l’archivio storico, l’utente può autonomamente comprenderne la eventuale inattualità della notizia, apprezzandone, invece, il valore di documento storico, con le sue potenzialità, ma anche i suoi limiti, in termini di informazione, è altrettanto vero che la rapidità di consultazione dell’archivio on line possa risultare molto più lesiva di una consultazione cartacea. A differenza degli archivi cartacei, gli archivi on line sono accessibili dalla rete e non garantiscono le medesime esigenze di riservatezza di un archivio cartaceo...”. 5.8. Tanto premesso, la giurisprudenza tutta fin qui riportata rappresenta un tentativo di fornire un quadro “unificante” di una materia magmatica ed innovativa, quale quella della tutela del diritto all’oblio, foriera, peraltro, di svariati interrogativi di carattere sostanziale ed applicativo. 5.8.1. Si è, invero, sottolineato, in dottrina, che il diritto all’oblio, sviluppatosi in seno al lungo percorso giurisprudenziale ed evolutivo dei diritti alla riservatezza ed all’identità personale, ed oggi espressione della moderna accezione dinamica del diritto alla protezione dei dati personali quale diritto all’autodeterminazione informativa, non si presta ad esercizi di sintesi o generalizzazioni. La tutela dei diritti fondamentali alla riservatezza ed alla protezione dei dati personali segue e si conforma, infatti, allo sviluppo tecnologico e, dunque, va raccordata alla fattispecie concreta, tenendo in debita considerazione le tecniche di veicolazione e circolazione dell’informazione utilizzate. In altre parole, è impossibile effettuare una reductio ad unum del diritto all’oblio, discutendo di un “fondamentale diritto” a che informazioni relative ad una determinata persona non vengano rievocate, ripubblicate o ridiffuse ove non vengano soddisfatte determinate condizioni. La prospettiva della
448
DIRITTO DI INTERNET N. 3/2020
protezione dei diritti fondamentali di cui agli artt. 7 e 8 Carta di Nizza è, infatti, sempre più proiettata verso una tutela di tipo rimediale e sensibile alla concreta conformazione della fattispecie. Se è vero che il concetto di oblio è strettamente collegato all’elemento del decorso del tempo in senso oggettivo (e quindi rispetto alla prima diffusione dell’informazione) e soggettivo (relativamente all’impatto sortito dall’attività di ridiffusione sulla corretta ed attuale proiezione sociale dell’interessato), una sua corretta declinazione non può prescindere dall’analisi dei diversi piani di proiezione degli interessi alla riservatezza ed alla protezione dei dati personali sulle contrapposte istanze pubbliche o private di accesso, circolazione e sfruttamento delle informazioni. 5.8.2. Affrontando la riflessione sul medium utilizzato per veicolare, a distanza di tempo, una determinata informazione, emerge come le pronunce giurisprudenziali in precedenza richiamate si riferiscano, in buona parte, alla declinazione on line del diritto all’oblio, concernendo, peraltro, ipotesi diverse di trattamento, con le sole eccezioni della rievocazione di fatti da parte di un quotidiano cartaceo nella seconda metà degli anni novanta dello scorso secolo (cfr. Cass. n. 16111 del 2013. Su fattispecie analoga è intervenuta anche la citata, recente, Cass., SU, n. 19681 del 2019) e dello speciale sistema di pubblicità attuato con l’istituzione del registro delle imprese (Corte giust. UE, 9.3.2017, causa C-398/15, e Cass. n. 19761 del 2017). Affatto peculiare, invece, è stata la fattispecie affrontata da Cass. n. 6919 del 2018 (concernente la ridiffusione di una “intervista mancata” avvenuta tramite il mezzo televisivo, non comparabile all’attività giornalistica svolta sulla carta stampata da un lato, nè all’immanenza ed infinita riproducibilità delle informazioni digitali in Internet nonchè alla connessa, quasi perpetua, accessibilità garantita dai motori di ricerca, dall’altro). Di notevole interesse, inoltre, è il principio enunciato da Cass. n. 5525 del 2012, che contempera la liceità dell’archiviazione on line di articoli giornalistici per finalità storiche con l’esigenza di garantire che i fatti narrati siano contestualizzati rispetto ai successivi sviluppi delle corrispondenti vicende (nel caso di specie, concernenti un’inchiesta giudiziaria che aveva condotto all’arresto dell’interessato e che si era, poi, conclusa con il suo proscioglimento). 5.9. Proprio quest’ultima decisione, allora, in ragione delle evidenti affinità tra la concreta fattispecie ivi esaminata e quella oggi all’esame del Collegio, può considerarsi come idoneo parametro decisionale utilizzabile in questa sede, avendo ampiamente indagato il tema, come si è detto di grande suggestione ed attualità, costituito dal rapporto tra nuovi media e diritti della personalità.
GIURISPRUDENZA CIVILE 5.9.1. In quell’occasione, infatti, la Corte di cassazione si mosse alla ricerca di un difficile equilibrio tra il “mare magnum di informazioni” in cui si sostanzia oggi Internet e quello che, da principio, è stato individuato come “diritto all’oblio” del singolo interessato, ma che, poi, nella stessa sentenza, ha assunto la diversa conformazione del diritto alla completa ed attuale informazione su di sé. La vicenda nasceva, invero, dalla richiesta del ricorrente, rivolta al Garante della privacy prima ed al Tribunale civile di Milano poi, di ottenere lo “spostamento di un articolo pubblicato molti anni prima in un’area di un sito web non indicizzabile dai motori di ricerca” ovvero l’integrazione dello stesso “con le notizie inerenti gli sviluppi successivi della vicenda narrata”. Nella fattispecie, in particolare, il ricorrente lamentava che l’articolo in questione riportasse la corretta notizia del suo arresto, ma non, altresì, l’informazione - distinta e successiva che l’inchiesta giudiziaria “si fosse poi conclusa con il proscioglimento”: non si contestava, dunque, la veridicità del contenuto dello scritto, nè il fatto che esso potesse essere considerato ancora di pubblico interesse. A ben vedere, quindi, non emergeva, tecnicamente, l’esigenza di tutelare il “diritto all’oblio”, consistendo quest’ultimo nel diritto a non essere più ricordato per fatti che in passato furono oggetto di cronaca ma che, attualmente, non sono più di interesse pubblico, bensì la differente esigenza dell’interessato a che la notizia in questione non fosse resa disponibile on line in quanto, non essendo completa ed aggiornata, giacché non faceva espresso riferimento al successivo proscioglimento, “gettava un intollerabile alone di discredito sulla persona del ricorrente, vittima di una vera e propria gogna mediatica”. Il vero thema decidendum era, pertanto, l’esistenza, o non, del diritto soggettivo del singolo individuo a che le informazioni che lo riguardano, presenti on line, fossero sempre e comunque costantemente aggiornate in modo che l’identità personale dell’interessato risultasse fedelmente rappresentata nel suo dinamico divenire, e cioè anche in relazione agli accadimenti più recenti. La Suprema Corte, al contrario di quanto ritenuto nel caso in rassegna dal Garante e dal giudice di prime cure, riconobbe la sussistenza di tale diritto, salvo precisare che lo stesso non può essere inteso nel senso di imporre la cancellazione dal web delle notizie datate, in quanto, all’esito di un corretto bilanciamento degli interessi in rilievo, e dunque anche alla luce dell’interesse della collettività a mantenere memoria delle notizie passate, bisogna piuttosto imporre al responsabile dell’archivio contenente la notizia, o più in generale al responsabile del sito Internet su cui la notizia risulta pubblicata, l’obbligo di predisporre “un sistema idoneo a segnalare (nel corpo o a margine) la sussistenza nel caso di un seguito e di uno sviluppo della notizia, e quale esso sia, consentendone il rapido ed agevole accesso ai fini del
relativo adeguato approfondimento”. Più specificamente, la Corte evidenziò - previo richiamo ai criteri di proporzionalità, necessità, pertinenza allo scopo, esattezza e coerenza del trattamento dei dati personali (di cui al D.Lgs. n. 196 del 2003), nonché alla possibilità dell’interessato di opporsi anche a trattamenti leciti quando ciò si renda necessario per un contemperamento degli interessi in gioco - la sussistenza di un obbligo di integrare o aggiornare la notizia non più attuale, divenuta “fatto storico” e quindi transitata nel relativo archivio, ma potenzialmente dannosa per la lesione della “proiezione sociale dell’identità personale” dell’interessato, che ha “diritto al rispetto della propria identità personale o morale”. E ciò perché, sempre secondo i giudici, anche quando sussiste, come nella fattispecie, l’interesse pubblico alla persistente conoscenza di un fatto avvenuto in epoca passata, e dunque non può essere accolta l’istanza di tutela dell’oblio formulata dall’interessato, “emerge la necessità, a salvaguardia dell’attuale identità sociale del soggetto cui la stessa afferisce, di garantire al medesimo la contestualizzazione e l’aggiornamento della notizia già di cronaca che lo riguarda”. Tale aggiornamento deve essere garantito tramite “il collegamento della notizia ad altre informazioni successivamente pubblicate, concernenti l’evoluzione della vicenda, che possano completare o financo radicalmente mutare il quadro evincentesi dalla notizia originaria”, dal momento che “i dati devono risultare esatti ed aggiornati in relazione alla finalità del loro trattamento”. In caso contrario, infatti, “la notizia, originariamente completa e vera, diviene non aggiornata, risultando, quindi, parziale e non esatta, e, pertanto, sostanzialmente non vera”. Su come si potesse arrivare a questo risultato, la sentenza nulla disse. Ma essa non sembrò postulare un obbligo di aggiornamento operante solo - come sembrerebbe più logico, e coerente con i principi emersi in ordine alla (ir)responsabilità del provider sino all’attivazione di una procedura di notice and take-down a seguito della formale relativa richiesta dell’interessato; i giudici mirarono, piuttosto, ad affermare l’operatività di un tale obbligo a prescindere da qualsiasi iniziativa di chicchessia. In definitiva, come si evidenziò in dottrina, “...con questa pronuncia la Cassazione evolve il diritto all’oblio, ovvero il diritto ad essere dimenticato o cancellato, e lo riformula sulle nuove fondamenta giuridiche collegate alla dimensione di Internet e della memoria che esso archivia. Una duplice declinazione del diritto all’oblio: laddove dovesse venire meno l’interesse pubblico originario che rende la notizia ancora attuale, allora il dato attraverso il quale è possibile identificare il soggetto può essere cancellato; invece, laddove l’interesse pubblico dovesse permanere, la notizia in rete potrà essere contestualizzata, ovvero aggiornata ad opera del titolare del sito on line, a tutela della proiezione dinamica dei dati personali e del rispetto
DIRITTO DI INTERNET N. 3/2020
449
GIURISPRUDENZA CIVILE dell’attuale dignità personale o morale del soggetto interessato”. Una decisione, pertanto, che dimostra, al di là della tecnicalità che occorre individuare per soddisfare le forme di contestualizzazione, la preoccupazione di salvaguardare il principio costituzionale che sta alla base della tutela dell’identità personale: la dignità dell’uomo. 5.9.2. Tali principi sembrano riemergere anche nella più recente Cass. n. 13161 del 2016, a tenore della quale la persistente pubblicazione e diffusione, su un giornale, di una risalente notizia di cronaca (riguardante, nella specie, una vicenda giudiziaria per un fatto accaduto circa due anni e mezzo prima della instaurazione del relativo procedimento D.Lgs. n. 196 del 2003, ex art. 152) esorbita, per la sua oggettiva e prevalente componente divulgativa, dal mero ambito del lecito trattamento di archiviazione o memorizzazione on line di dati giornalistici per scopi storici o redazionali, configurandosi come violazione del diritto alla riservatezza quando, in considerazione del tempo trascorso, sia da considerarsi venuto meno l’interesse pubblico alla notizia stessa. Detta pronuncia, infatti, investì un’ipotesi in cui l’illecito trattamento dei dati personali era stato ravvisato dal giudice di merito non già nel contenuto e nelle originarie modalità di pubblicazione e diffusione dell’articolo di cronaca sul fatto accertato nel (*), né nella conservazione ed archiviazione informatica di esso, ma nel mantenimento del diretto ed agevole accesso a quel risalente servizio giornalistico del marzo 2008 e della sua diffusione sul web quanto meno a far tempo dal ricevimento della diffida, nel settembre 2008, per la rimozione di quella pubblicazione dalla rete. È evidente, dunque, che non si trattava di articolo accessibile esclusivamente dall’archivio del giornale on line che ne aveva, tempo addietro, curato la pubblicazione, bensì di articolo tuttora “recuperabile” direttamente attraverso il semplice utilizzo dei normali motori di ricerca. 5.10. Tutto ciò premesso, è affatto evidente che la decisione oggi impugnata risulta essere assolutamente in linea con la riportata giurisprudenza nazionale e sovranazionale circa la sussistenza dei parametri in presenza dei quali soltanto può legittimamente affermarsi la prevalenza del diritto di cronaca sul diritto all’oblio. 5.10.1. A tal riguardo, deve anzitutto rilevarsi che l’esclusione della dedotta violazione del menzionato diritto è stata operata, dal tribunale territoriale, procedendo al bilanciamento tra i diritti del singolo e quelli della collettività, e ritenendo (cfr. amplius, pag. 12-15 della decisione impugnata) che: i) una soluzione di ragionevole compromesso può essere, allo stato, quella adottata con i provvedimenti che impongono la deindicizzazione degli articoli sui motori di ricerca generali, la
450
DIRITTO DI INTERNET N. 3/2020
cui conseguenza immediata è che l’articolo e la notizia controversa sono resi disponibili solo dall’attivazione dello specifico motore di ricerca all’interno di un quotidiano. Tale semplice limitazione consente all’interessato di vedere estromesso dal dato che lo riguarda azioni di ricerca mosse da ragioni casuali o, peggio, futili; ii) tanto trova applicazione nell’ipotesi in cui il dato personale di cui si discute mantenga un apprezzabile interesse pubblico alla sua conoscenza, da valutarsi e da ritenersi sussistente in funzione non solo della perdurante attualità del dato di cronaca, ma anche in presenza del solo assolvimento del valore documentaristico conservativo proprio dell’archivio, sia pure integrato dagli aggiornamenti prescritti dalle Autorità intervenute in tema; iii) nel bilanciamento degli interessi contrapposti diritto al controllo del dato, diritto all’oblio del titolare dei dati personali e diritto dei cittadini ad essere informati - prevale, ex art. 21 Cost., il diritto della collettività ad essere informata con il conseguente diritto dei mezzi di comunicazione di informare in tutti i casi in cui il dato sia trattato correttamente e permanga nel tempo l’interesse alla sua conoscenza secondo i profili indicati; iv) non parrebbe corretto individuare il sorgere del diritto all’oblio quale conseguenza automatica del trapasso del soggetto interessato; v) analogamente, il venir meno dell’interesse collettivo alla conoscenza di determinati dati personali non coincide, in via automatica, con il passaggio a miglior vita del titolare. Allo stesso modo, il mero trascorrere del tempo non comporta, ex se, il venir meno dell’interesse alla conoscenza del dato di cronaca, criterio che, se opzionato, comporterebbe la non pertinenza di scopo di ogni archivio di stampa, cartaceo o informatico che sia. Deve, dunque, l’interprete valutare se la compressione del diritto alla reputazione dell’interessato (definita da Cass. n. 5525 del 2012 “immagine sociale”) derivante dal perdurare del trattamento dei dati giornalistici/d’archivio comporti, in una concreta fattispecie, un sacrificio non giustificato dal corrispondente interesse alla conoscenza del dato da parte della collettività. In altri termini, sussiste ex art. 21 Cost., un generale diritto alla conoscenza di tutto quanto in origine lecitamente veicolato al pubblico, con conseguente liceità del fine del trattamento dei dati personali contenuti in archivio; tale diritto incontra un limite, in applicazione del D.Lgs. n. 196 del 2003, art. 11 nelle fattispecie in cui la permanenza del dato nell’archivio informatico, per la sua potenziale accessibilità, non paragonabile a quella di una emeroteca, comporti un tale vulnus alla riservatezza dell’interessato (con conseguente immediata ripercussione sulla propria reputazione) da minarne in misura apprezzabile l’esplicazione dei diritti fondamentali della persona in ambito relazionale.
GIURISPRUDENZA CIVILE 5.10.2. Si tratta, ad avviso del Collegio, di giustificazione affatto condivisibile perché, come si è già anticipato, ampiamente in linea con la riportata giurisprudenza nazionale e sovranazionale. 5.10.3. Alla stregua di questi principi, quindi, all’esito del bilanciamento di interessi compiuto, il tribunale milanese ha sottolineato che, nel caso in esame, emerge in tutta evidenza che il dato personale, derivante da attività di cronaca giudiziaria legittimamente esercitata, aveva ad oggetto l’attività imprenditoriale del defunto, azionista di riferimento di società industriali di rilievo nazionale - risultando il cd. Gruppo P., per stessa ammissione del ricorrente, il primo operatore italiano nel campo della grafica - e, in particolare, di condotte ritenute di potenziale rilievo penale, commesse al fine di mantenere/acquisire il controllo del gruppo societario. Ecco, quindi, che “nel bilanciamento dei contrapposti interessi sussiste e permane l’interesse della collettività, ed in particolare del mondo economico, di “fare memoria” di vicende rilevanti per un soggetto che si presenta come primario centro di imputazione di interessi economici rilevanti per la collettività”, dovendosi, inoltre, “ricordare che, tra tutti i dati personali, quelli interessanti l’attività economica esercitata offrono la maggior resilienza all’azione di compressione esercitabile a tutela della riservatezza dei soggetti cui i dati pertengono. Non può, quindi, seriamente contestarsi il potenziale interesse pubblico a conoscere la storia di un primario attore nell’ambito economico nazionale, ivi incluse le lotte scatenatesi per il controllo azionario del gruppo societario in questione” (cfr. pag. 14 della menzionata sentenza). Il tribunale, infine, ha aggiunto che “quanto al richiesto aggiornamento del dato di cronaca giudiziaria di interesse, si osserva che, nel caso in esame, l’editore non poteva accedere alla richiesta di annotazione del “proscioglimento” del congiunto, come invece domandato dal ricorrente, posto che il defunto * P. non solo non era stato prosciolto dal GUP in sede di udienza preliminare, condizione di esclusiva applicabilità del concetto di proscioglimento invocato, ma lo stesso nemmeno era stato assolto dal giudice del dibattimento, posto che la vicenda giudiziaria si era conclusa, per alcuni capi di imputazione, con una pronuncia in rito di non doversi procedere, rispettivamente per difetto di querela e per intervenuta prescrizione del reato, e, solo per due degli originari capi di imputazione, l’imputato era stato assolto nel merito” (cfr. pag. 14-15 della medesima sentenza). 5.10.4. In definitiva, quindi, l’avere la società editrice provveduto alla deindicizzazione ed allo spontaneo aggiornamento dell’articolo “Eredità miliardaria. È guerra” del 1° aprile 2004 - unico su cui ancora esisteva controversia - è stato ritenuto dal giudice a quo come
soluzione idonea a bilanciare i contrapposti interessi in gioco, conservandosi il dato pubblicato, ma rendendolo accessibile non più tramite gli usuali motori di ricerca, bensì, esclusivamente, dall’archivio storico del “Corriere della Sera”, ed al contempo garantendo la totale sovrapponibilità, altrimenti irrimediabilmente compromessa, fra l’archivio cartaceo e quello informatico del medesimo quotidiano, nonché il diritto della collettività a poter ricostruire le vicende che avevano riguardato il controllo dell’impresa P.. 5.11. Trattasi, ad avviso di questo Collegio, di un argomentare puntuale ed aderente al dettato legislativo, oltre che agli orientamenti giurisprudenziali in precedenza riportati, posto che ha correlato la permanenza nell’archivio storico del giornale alle particolari esigenze di carattere storico/sociale insite nelle notizie oggetto di causa. 5.11.1. Va ricordato, peraltro, che la protezione normativa dell’archivio (storico) giornalistico sta cominciando a formare oggetto di attenta considerazione da parte del legislatore: basti pensare a quanto sancito nel Regolamento Europeo sulla Protezione dei Dati (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016), in cui sono state inserite norme (cfr. art. 9, par. 2, lett. j)) finalizzate alla tutela delle attività di archiviazione nel pubblico interesse di ricerca scientifica o storica o a fini statistici. Il diritto all’oblio subisce delle limitazioni (art. 17, par. 3, lett. d)) nelle ipotesi in cui il trattamento dei dati sia necessario “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’art. 89, par. 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento”. L’art. 89, infine, al par. 1, prende in considerazione garanzie adeguate per i diritti e le libertà dell’interessato mediante l’adozione di misure tecniche ed organizzative che possano garantire il rispetto del principio della minimalizzazione dei dati. Una parte del Regolamento (il titolo VII) è poi dedicata appositamente al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici con la finalità di garantire la conservazione di quei dati che siano decisivi per la “memoria” della società. 5.11.2. Orbene, come condivisibilmente puntualizzato dal sostituto procuratore generale nella sua requisitoria scritta (cfr. pag. 6), “il richiamo di tali norme, anche se introdotte successivamente e non applicabili al caso in esame, rileva comunque a fini logico-interpretativi per testare la correttezza della decisione che, a suo tempo, ha utilizzato criteri giuridici compatibili con la esigenza
DIRITTO DI INTERNET N. 3/2020
451
GIURISPRUDENZA CIVILE di preservare la storicità delle notizie quando le notizie stesse siano di interesse per la collettività e per la storia economico-sociale di un Paese”. 5.11.3. Ecco, allora che, nella fattispecie oggi in esame, la necessità di trovare un punto di equilibrio tra gli interessi contrapposti (quelli del titolare del sito dell’archivio e quelli del titolare del dato, non più accessibile dai comuni motori di ricerca) è stata ritenuta adeguatamente soddisfatta dalla deindicizzazione, unita allo spontaneo aggiornamento dei dati da parte del titolare del sito, considerata dal tribunale milanese come misura di protezione del singolo ponderata ed efficace, mentre l’intervento di rimozione sull’archivio storico informatico si sarebbe rilevata eccessiva e penalizzante così da danneggiare il punto di equilibrio degli interessi predetti. Può, dunque, concludersi nel senso che, il giudice di merito, nel considerare la permanenza dell’interesse alla conservazione del dato in ragione della rilevanza storico-sociale delle notizie di stampa, non ha violato le norme di legge (D.Lgs. n. 196 del 2003, artt. 2,4,7,11,23,101 e 102; art. 6 della Direttiva Comunitaria n. 95/46; art. 2 Cost.) anche in ragione delle cautele concretamente adottate e volte alla deindicizzazione della notizia dai siti generalisti, dovendosi solo aggiungere che il generico rinvio al link (*), inserito nello spazio deindicizzato, non è tale da porsi in violazione delle norme di legge in materia, nè costituisce un argomento su cui censurare la decisione impugnata. Il bilanciamento degli interessi contrapposti, anche sotto questo ultimo aspetto, nel dare prevalenza alla storicità della notizia, ha consentito di inquadrare l’attività di mero richiamo dal sito deindicizzato, per il tramite di un link, nell’ambito di una attività lecita giuridicamente. 5.11.4. A fronte di tutto ciò, l’odierna doglianza del ricorrente si risolve, sostanzialmente, in una critica al complessivo accertamento fattuale operato dal giudice a quo, cui il primo intenderebbe opporre, sotto la formale rubrica di vizio di violazione di legge, una diversa valutazione: ciò non è ammesso, però, nel giudizio di legittimità, che non può essere surrettiziamente trasformato in un nuovo, non consentito, ulteriore grado di merito, nel quale ridiscutere gli esiti istruttori espressi nella decisione impugnata, non condivisi e, per ciò solo, censurati al fine di ottenerne la sostituzione con altri più consoni alle proprie aspettative (cfr. Cass. n. 21381 del 2006, nonchè le più recenti Cass. n. 8758 del 2017 e Cass., SU, n. 34476 del 2019). 6. Alla stregua di quanto fin qui detto, e del conseguente rigetto della corrispondente doglianza, va, poi, ritenuta l’inammissibilità del primo motivo di ricorso, che, come si ricorderà, censura la decisione impugnata, ritenendo-
452
DIRITTO DI INTERNET N. 3/2020
la “palesemente viziata, difettando pure di una congrua e logica motivazione”, laddove ha ritenuto sussistere la legittimazione del ricorrente al promovimento dell’azione esclusivamente nella sua qualità di erede del defunto padre, e non già in proprio. 6.1. Giova, invero, evidenziare che, sul punto, il tribunale motivò la propria decisione argomentando nei sensi già precedentemente riportati al precedente p. 2.2.1. di questo scritto (da intendersi, qui, per brevità, interamente riprodotto), ed inoltre, dopo aver lungamente disquisito sul perché nemmeno potesse trovare accoglimento la (residua) domanda spiegata da X. in qualità di erede del defunto P. (cfr. il p. 2.2.2. di questo elaborato, anch’esso da considerarsi qui riprodotto), ebbe espressamente a rimarcare che la conclusione ivi esposta doveva valere anche per le domande proposte in proprio dal ricorrente ove non si fosse ritenuto di accedere alla prima soluzione già per esse descritta, derivandone, dunque, anche in tal caso, il rigetto della domanda di rimozione e cancellazione dell’articolo in esame (cfr. pag. 16 della sentenza impugnata). 6.2. Questa seconda ratio decidendi, evidentemente autonoma rispetto alla prima, non è stata specificamente confutata (sotto il peculiare profilo della possibilità di utilizzare i medesimi assunti per disattendere sia la domanda formulata dal ricorrente in proprio che quella da lui spiegata nella indicata qualità) nel motivo in esame, ed a tanto deve aggiungersi che, comunque, l’infondatezza, per quanto già ampiamente esposto, del terzo motivo di ricorso, consente, ormai, di ritenere non più contestabile la prima delle suddette rationes decidendi cui la seconda ha fatto esplicito rinvio per disattendere, in ogni caso, la domanda svolta da X. quale erede del defunto padre. 6.2.1. Deve, dunque, trovare applicazione il principio secondo cui, ove la corrispondente motivazione della sentenza sia sorretta da una pluralità di ragioni, distinte ed autonome, ciascuna delle quali giuridicamente e logicamente sufficiente a giustificare la decisione adottata sul punto, l’omessa impugnazione di una di esse, ovvero l’inammissibilità o il rigetto del motivo di ricorso attinente quest’ultima, rende inammissibile, per difetto di interesse, la censura relativa alle altre, la quale, essendo divenuta definitiva l’autonoma motivazione non impugnata o di cui sia stata respinta o dichiarata inammissibile la doglianza contro di essa formulata, non potrebbe produrre in alcun caso l’annullamento, in parte qua, della sentenza (cfr., ex multis, Cass. n. 15399 del 2018; Cass. n. 15075 del 2018, in motivazione; Cass. n. 18641 del 2017; Cass. n. 15350 del 2017).
GIURISPRUDENZA CIVILE 7. Immeritevole di accoglimento, infine, è anche il secondo motivo di ricorso, che, sull’assunto secondo cui l’articolo titolato “Eredità miliardaria. è guerra”, oggetto di aggiornamento da parte di RCS Quotidiani, oltre che essere rimasto all’interno del sito del quotidiano e reperibile attraverso il motore di ricerca della pagina web dell’archivio storico, viene pescato come primo risultato attraverso una ricerca effettuata con i comuni motori bing.it e yahoo.it digitando le stringhe di ricerca “ P.- eredità”, con un rimando alla pagina dell’archivio storico del Corriere, tanto che ancora oggi risulta così indicizzato, ascrive al Tribunale di Milano di aver pronunciato la cessazione della materia del contendere sulla domanda del ricorrente di deindicizzare l’articolo dai comuni motori di ricerca esterni al corriere.it motivando nel senso che “il testo in esame non è più reperibile attraverso l’utilizzo dei generali motori di ricerca della rete; dalla documentazione allegata dalle parti... emerge che il testo risulta ad oggi reperibile esclusivamente dagli internauti che entrino nell’archivio informatico del (*); deve quindi ritenersi cessata la materia del contendere in ordine alla richiesta di deindicizzazione dai motori di ricerca anche del presente testo” (cfr. pag. 5 della sentenza impugnata): decisione ritenuta “palesemente viziata, erronea e contraddittoria, motivata sulla scorta di evidenze probatorie versate in atti che smentiscono quanto asserito dal tribunale” (cfr. pag. 12 del ricorso). 7.1. Ribadito, innanzitutto, quanto si è già detto al p. 5 di questo scritto circa l’attuale perimetro operativo dell’art. 360 c.p.c., comma 1, n. 5 (nel testo, utilizzabile ratione temporis, modificato dal D.L. n. 83 del 2012, convertito, con modificazioni, dalla L. n. 134 del 2012), è qui sufficiente evidenziare che il dato fattuale da cui ha preso le mosse il giudice a quo è conforme alle risultanze istruttorie: l’articolo non è più reperibile attraverso i generali motori di ricerca, come riconosce lo stesso ricorrente, secondo cui i due motori di ricerca da lui indicati effettivamente non consentono più, al pari degli altri, la descrizione dell’articolo, che offrivano in precedenza, visualizzandolo, ma solo un accesso all’archivio
storico del Corriere, dove, però, come si è già detto, la pagina contenente l’articolo è conservata, con il relativo aggiornamento, ed al quale l’utente può accedere esclusivamente entrando direttamente nell’archivio o usando, per farlo, quei motori (nel senso che essi rimandano non immediatamente all’articolo in questione, bensì all’archivio on line del (*) in cui esso, con il relativo aggiornamento, è conservato). 7.2. Il tribunale milanese, dunque, non ha affatto omesso di motivare su un fatto decisivo per il giudizio, avendo rilevato, al contrario, sulla scorta di quanto dedotto e prodotto, da un lato, che la RCS Quotidiani s.p.a. aveva spontaneamente aggiornato il dato, giusta quanto appreso dall’interessato ed accertato direttamente; dall’altro, che essa aveva fatto in modo che i principali motori di ricerca non visualizzassero più (in via diretta, consentendolo, invece, solo tramite invio al suddetto archivio del Corriere) l’articolo in parola. 8. In definitiva, il ricorso va respinto, potendosi procedere alla compensazione delle spese di questo giudizio di legittimità in ragione dell’assoluta peculiarità della vicenda e della non integrale pertinenza ad essa dei rinvenuti precedenti di questa Corte, e dandosi atto, altresì, - in assenza di ogni discrezionalità al riguardo (cfr. Cass. n. 5955 del 2014; Cass., S.U., n. 24245 del 2015; Cass., S.U., n. 15279 del 2017) e giusta quanto recentemente precisato da Cass., SU, n. 23535 del 2019 - ai sensi del D.P.R. 30 maggio 2002, n. 115, art. 13, comma 1-quater, nel testo introdotto dalla L. 24 dicembre 2012, n. 228, art. 1, comma 17, della sussistenza dei presupposti processuali per il versamento, da parte del ricorrente, dell’ulteriore importo a titolo di contributo unificato, pari a quello, ove dovuto, per il ricorso, a norma dello stesso art. 13, comma 1 bis. 9. Va, disposta, infine, per l’ipotesi di diffusione del presente provvedimento, l’omissione delle generalità e degli altri dati identificativi a norma del D.Lgs. n. 196 del 2003, art. 52.
DIRITTO DI INTERNET N. 3/2020
453
GIURISPRUDENZA CIVILE
IL COMMENTO
di Roberto Pardolesi e Camilla Scarpellino Sommario: 1. Un’altra puntata. - 2. Oblio di seconda generazione: ai tempi di Internet. - 3. L’identità personale in divenire. - 4. La giurisprudenza sul diritto all’oblio: tutti insieme appassionatamente? - 5. I termini del bilanciamento. - 6. Habeas data post mortem. La Cassazione torna a pronunciarsi sul respiro del diritto all’oblio; e, appuntando l’attenzione su una vicenda contenziosa legata alla presenza, nell’archivio storico di un quotidiano, di notizie relative alle passate vicende giudiziarie di persona nel frattempo defunta, traccia un quadro che, con un vena di pragmatico realismo, sgancia la tutela dell’interesse a non vedersi esposti al pubblico dominio, quando non sussista un riconoscibile interesse della collettività alla conoscenza dell’informazione, dalla pretesa di cancellare le tracce e riscrivere la storia. Ne deriva una prima trama di bilanciamento per tipologia di casi. The Italian Highest Court (Corte di Cassazione) is called, one more time, to pronounce on the “breath” of the right to be forgotten. Focusing on a contentious story linked to the presence, in the historical archive of a newspaper, of news relating to past legal proceedings of a person who has in the meantime passed away, it draws a picture that, with a vein of pragmatic realism, disconnects the protection of the interest in not being exposed to the public domain, where there is no recognizable interest of the community in the knowledge of information, from the claim to erase traces and rewrite history. The result is a first balancing plot by type of cases.
1. Un’altra puntata
Ancora oblio! Le pronunce della Cassazione sul tema s’infittiscono, la saga si allunga. L’odierna sentenza risponde a un’istanza avanzata, questa volta, non dall’interessato, ormai passato a miglior vita, ma da suo figlio, in proprio e in qualità di erede. I fatti, in sintesi. L’erede di un noto imprenditore bergamasco si doleva, in prima battuta col Garante per la protezione dei dati personali, di due articoli, pubblicati sul Corriere della Sera e poi rifluiti nell’archivio digitale del quotidiano, in quanto asseritamente lesivi dell’onore, della reputazione e della dignità del de cuius. I due pezzi, intitolati “I miliardi dell’eredità […]. Firme false e intrighi dietro la Dinasty di Bergamo” ed “Eredità miliardaria. È guerra”, comparsi rispettivamente il 28 giugno 1994 e 1° aprile 1994, riportavano la notizia -di particolare rilievo nell’ambiente economico- del rinvio a giudizio e successiva condanna del padre dell’odierno ricorrente. Il quale lamentava l’assenza di qualsivoglia riferimento al successivo “proscioglimento” dell’imputato, sopravvenuto il 15 ottobre del 2001, più di sette anni dopo la pubblicazione degli articoli cennati. Proprio sul presupposto dell’incompletezza, e quindi della portata non corretta/lesiva, dell’informazione sull’imprenditore contenuta in quegli scritti, l’erede legittimo ne richiedeva la rimozione dall’archivio informatico o, in via subordinata, la deindicizzazione e l’aggiornamento con l’indicazione degli sviluppi processuali successivi. Il Garante (1), preso atto che l’editore si era attivato per prevenire l’emersione degli articoli in esame sui motori generali di ricerca, respingeva le ulteriori richieste, facendo leva sulla circostanza che si trattava di un trat (1) Provvedimento del 19 maggio 2011 [1821331].
454
DIRITTO DI INTERNET N. 3/2020
tamento lecito perché effettuato per fini storico-documentari (2). Il provvedimento di rigetto dell’originaria istanza veniva impugnato dinanzi all’autorità giudiziaria ordinaria, ma le sorti della contesa non cambiavano. Il Tribunale di Milano preliminarmente rilevava la carenza di legittimazione del ricorrente a invocare il diritto all’oblio del defunto riguardo a notizie relative ad una sua vicenda giudiziaria, non potendosi configurare la tutela della “serenità di un trapassato” (3) quale interesse proprio dell’istante, cui sarebbe stato possibile, tutt’al più, agire in qualità di erede, posto che i dati non erano a lui direttamente riferibili. Il tribunale rigettava il ricorso anche nel merito: conclusione inevitabile, per il giudicante, a
(2) Più nel dettaglio, il Garante rilevava che “il trattamento cui fa riferimento l’odierno ricorso, in origine effettuato per finalità giornalistiche, rientra attualmente, attraverso la conservazione nell’archivio on line del quotidiano del testo dell’articolo a suo tempo pubblicato, tra i trattamenti effettuati per fini storici; tale ulteriore finalità, per espressa previsione normativa (art. 99, 1°comma, del Codice [privacy]), è considerata compatibile con i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati, rendendo pertanto lecito il perdurante trattamento, pur in assenza di espresso consenso dell’interessato”. In definitiva, “la richiesta di aggiornamento dei dati riferiti alle vicende giudiziarie del congiunto del ricorrente [doveva ritenersi infondata] non potendosi disporre un intervento modificativo e/o integrativo del contenuto di un articolo che, nato come espressione di libera manifestazione del pensiero, ad oggi è legittimamente conservato, per finalità di documentazione, all’interno di un archivio che, benché informatizzato, svolge pur sempre la medesima funzione degli archivi cartacei; ciò tenuto peraltro conto del fatto che gli articoli oggetto di ricorso, ad oggi, non risultano indicizzabili dall’esterno, riducendo considerevolmente il rischio che possano venire lesi i diritti dell‘interessato in virtù di una diffusione del medesimo eccedente i limiti insiti nelle finalità dell’archivio”. (3) Trib. Milano 17 febbraio 2014, giud. Dorigo, inedita, ma reperibile in rete, digitando - nemmeno a dirlo - il nome dell’imprenditore in congiunzione col termine eredità.
GIURISPRUDENZA CIVILE seguito della rimozione del primo articolo dagli indici dei motori di ricerca generali e della sua comprovata inattingibilità per i fruitori esterni del sito informatico del quotidiano e per essere stato, il secondo, aggiornato con le informazioni sulla caduta, a vario titolo, delle contestazioni mosse all’imputato. Fine della materia del contendere? Nient’affatto. Perché il secondo articolo, che si voleva deindicizzato (e lo era, per quanto riguardava il contenuto, non più direttamente accessibile dalla rete, anche se ancora reperibile per chi avesse attivato l’accesso diretto all’archivio del giornale), non risultava adeguatamente aggiornato in merito all’esito favorevole del procedimento penale. Il ricorrente si rivolgeva allora alla Suprema corte invocando il diritto all’oblio sub specie di violazione dell’immagine dell’ascendente. La sezione prima si trovava quindi, una volta di più, a dirimere il conflitto tra persona nota e testata giornalistica, in una situazione in cui, però, il bilanciamento non coinvolgeva, come di solito, cronaca e privacy (4), bensì -lo si vedrà meglio tra un momento- documentazione storica e identità personale. Per inciso, vale la pena di ricordare che il procedimento era stato sospeso in pendenza del pronunciamento delle sezioni unite, che si supponeva avrebbe dettato le linee guida per sbrogliare la matassa: attesa non ripagata, per quanto si dirà più oltre, sì che al collegio giudicante non è rimasto altro partito che rimboccarsi le maniche e sforzarsi di mettere ordine nella materia.
2. Oblio di seconda generazione: ai tempi di Internet
Può essere utile partire da una rapida (e consapevole) salva di luoghi comuni. Dopo la rivoluzione industriale, nelle sue varie versioni, quella informatica (che tende a volgersi in “quarta rivoluzione” (5), intesa a spogliare l’essere umano della prerogativa di unico decisore “logico”) costituisce la nuova fase nell’evoluzione storico-sociale dell’umanità, scandita dal passaggio dalla generazione analogica a quella digitale (6). I nativi del ventunesimo secolo, che fanno capo alla generazione Z
(4) Secondo un calco di cui è testimonianza recente Trib. Venezia 26 settembre 2019, Giud. Simone, Dorigo c. Gedi e Fazzo, in corso di pubblicazione in Danno e resp., 2020, con nota di Scarpellino, Contorsionismi del diritto all’oblio e criticità degli archivi on line (richiesta di risarcimento del danno prodotto dalla pubblicazione, su un quotidiano nazionale, di un articolo, intitolato “Il divorzio del terrorista irriducibile: mia moglie collabora con lo Stato”, poi trasmigrato nell’archivio storico e aperto all’indicizzazione di Google e dintorni, salva successiva disabilitazione ad opera dell’editore in seguito alla proposizione del ricorso. (5) L’espressione, riferita ad una più ampia parabola relativa alla centralità della figura umana, è di L. Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017, 44. (6) Pardolesi – Di Ciommo, Dal diritto all’oblio in internet alla tutela dell’identità dinamica. È la rete bellezza!, in Danno e resp., 2012, 701.
dei post-millenials, hanno acquisito familiarità con le nuove tecnologie nel mentre andavano alla conquista della capacità di camminare e rapportarsi col prossimo. È quindi ragionevole preconizzare che le interazioni telematiche cresceranno esponenzialmente negli anni a venire, così come il volume dei dati rilasciati dalle suddette interazioni. In questo panorama, il giurista deve interrogarsi sull’adeguatezza degli attuali strumenti a sua disposizione per far fronte ai nuovi illeciti sferrati a colpi di mouse. In effetti, il contenzioso cui si riferisce la pronuncia in epigrafe deriva in linea retta dall’impatto di Internet sulla vita di ogni giorno. In fondo, gli articoli asseritamente lesivi dell’immagine del defunto risalgono a più di un quarto di secolo prima; ci sarebbe voluto molto meno per disperderne le tracce, se non fosse, appunto, per la rete, che invece non dimentica. L’erede dell’offeso è spinto a difendere l’onore del padre non soltanto da un sentimento affettivo, ma dalla consapevolezza che il proprio nome e quello della sua azienda sarebbero costantemente passibili di collegamento alle vicende giudiziarie del de cuius, così come raccontate in presa diretta dal quotidiano (allora con l’ovvia copertura del diritto di cronaca su eventi d’interesse pubblico) e rese poi accessibili per essere state inserite, insieme agli altri contenuti, nell’archivio del giornale. Accessibilità permanente ed esasperata all’estremo dai motori di ricerca, che s’ingegnano di trovare il bandolo di un’ingovernabile babele di informazioni estrapolando e presentando all’utente tutti i link correlati alle parole chiave di ricerca immesse nel browser, con un’immensa attività di indagine (‘sintattica’, ma non semantica, direbbero gli sciamani dell’AI, e quindi incapace di elaborazione interpretativa valoriale) svolta da algoritmi che rintracciano le informazioni nel mare magnum (7) di Internet, attingendo a dati on line e a contenuti memorizzati tramite la funzione c.d. “copia cache”, la quale permette di visualizzare le pagine dei siti anche qualora la fonte originale non sia più disponibile. Sotto questo profilo la rete, concepita come un immenso spazio libero dove chiunque può condividere un’informazione, può essere paragonata all’archivio degli archivi, facilmente praticabile e in grado di immagazzinare una quantità sterminata di contenuti (8). Di qui il materializzarsi di una (7) La citazione è tratta da Cass. 5 aprile 2012, n. 5525, Foro it., 2013, I, 305 (8) Di Ciommo, Quello che il diritto non dice. Internet e oblio, in Danno e resp., 2014, 1101, evidenzia in particolare come il web impedisca di controllare le notizie sul proprio conto presenti in rete, soprattutto se le informazioni vengono condivise da terzi, liberi di pubblicare contenuti su Internet. Ad aggravare il quadro, che preannuncia la morte dell’oblio, si aggiunge la funzione “copia cache” per il cui tramite molti motori di ricerca mettono a disposizione degli utenti una copia di dati testuali di ogni pagina archiviata per quando la risorsa originale risulti irraggiun-
DIRITTO DI INTERNET N. 3/2020
455
GIURISPRUDENZA CIVILE memoria illimitata nel tempo, sottratta al decadimento da obsolescenza tipico della circolazione tradizionale dell’informazione. Non sorprende che, di fronte a questo quadro quasi distopico -e pensare che il world wide web ha fatto il suo esordio appena cinque lustri fa!- si sia fatto appello al diritto all’oblio, che rinviene pur sempre la propria ratio nella tutela dell’ “interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata” (9). Salvo dover constatare che tale diritto, nella sua originale accezione, era stato costruito per rispondere a una realtà in cui l’illecito era causato dalla ripubblicazione di una notizia relativa a vicende passate e non più oggetto di un reale interesse della collettività a rievocare l’evento. Le nuove tecnologie, invece, non necessitano di una ripubblicazione; il contenuto lesivo, infatti, rimarrà permanentemente esposto sulla bacheca virtuale di Internet, disponibile alla curiosità del primo visitatore. Queste, a un dipresso, le coordinate con cui si misura la sentenza in epigrafe, la quale, in limine, s’impegna in un ambizioso esercizio di sistemazione della materia, attraverso la disaggregazione delle sue matrici (e la loro successiva ricomposizione). Si osserva, infatti, che, mentre nella sua primigenia epifania il diritto all’oblio era ricondotto all’alveo della riservatezza -intesa come diritto a preservare la propria sfera intima da intrusioni esterne mediante divulgazione di notizie attinenti a una dimensione che si vorrebbe sottratta a pubblicità-, il nuovo corso tecnologico attiva una diversa esigenza, quella di gestire il flusso dei dati personali (10): la qual cosa implica che la tutela invocata si riannodi a quella dell’identità personale e, dunque, alla pretesa che non sia travisata la caratura della propria personalità. Dimensione statica, e magari elitaria (perché appannaggio di chi, per un motivo o per l’altro, si trovi nell’occhio del riflettore di fronte all’opinione pubblica), la prima; dinamica, e sostanzialmente proletarizzata (in quanto condivisa da tutti i consociati), quella che mette capo alla protezione dei dati personali. La divaricazione, aggiunge la corte, ha una vistosa ricaduta sul piano rimediale, perché l’oblio in versione tradizionale postulava la cancellazione dei dati, laddove il nuovo corso mira alla loro contestualizzazione e conseguente aggiornamento,
gibile. In questo modo, essi finiscono per svolgere una vera e propria attività di memorizzazione di tutti i contenuti della rete, finalizzata a far sì che nulla possa essere distrutto di ciò che è stato, almeno una volta, postato online.
456
tali da ripristinare la corretta rappresentazione dell’identità del soggetto (11). La ricostruzione è certamente suggestiva. Ma, a conti fatti, rimane tale. La tormentata storia giurisprudenziale della riservatezza da noi, della privacy altrove (12), non è mai riuscita a perimetrare un ambito preciso, a scolpire contorni netti (chi non ricorda la quadripartizione di Prosser? (13)), sì che la rivoluzione tecnologica in salsa informatica ha semplicemente aperto un nuovo fronte, ben altrimenti sensibile per i consociati tutti, tradottosi in uno spettacolare apporto legislativo across the board (14). Nessuno dubita del fatto che l’esplosione digital-telematica abbia mutato i termini pratici del problema: ma i valori della personalità incisi dalle nuove prassi sono sempre gli stessi, anche se ora viaggiano in rete a velocità vertiginose. In altre parole, ammesso pure che abbia senso scandire le articolazioni della personalità in guisa di diritti specifici (piuttosto che metter capo, alla maniera teutonica, ad una trama unitaria), la riservatezza di un tempo fa capo all’identità personale, non diversamente dalla pretesa di preservare la propria immagine virtuale. E non è punto certo che alle scansioni proposte oggi dalla pronunzia in epigrafe corrisponda una rigida ripartizione dei rimedi: l’art. 17 GDPR e il furore censorio di chi vorrebbe cancellare tutto ciò che non gli aggrada stanno a ricordarci che le linee di confine sono assai più labili. Del resto, è la stessa corte ad ammonirci, al termine del suo esercizio tassonomico (15), sulla necessità di riaggregare quanto sin lì si era cercato di divaricare minuziosamente, per “evitare la permanenza all’interno dell’ordinamento di un diritto con due significati diversi” (fin qui poco male, perché si tratterebbe di problema semantico, di etichette) e, (11) Cass. 7559/20, § 5.4.1. (12) L’una e l’altra raccontate mille volte, il che esime dall’onere di citazioni a cascata. Del resto, la labilità dei confini tassonomici offre il destro per cangianti ri-concettualizzazioni: l’ultima di cui abbiamo notizia, prossima a comparire sul Yale Law Journal, si deve a Post – Rothman, The First Amendment and the Right(s) of Publicity, <www.ssrn.com>, 2020, che riconducono l’oblio ad un “right to control” , piuttosto che a un “right of dignity” (p.27 ss.), non senza nascondersi dubbi di resilienza costituzionale: “Regulating the storage, sale, and manipulation of privately held data ... is quite different from regulating public discussion based on otherwise public information. It is one thing to prevent Google from selling data gathered from its surveillance of our online searches; it is quite another to prevent Google from communicating to the general public otherwise publicly available information on the web. Freedom of public discourse entails the latter, but not the former” (p. 63 ss.). (13) Per chi abbia alzato la mano, ecco gli estremi di una citazione classica: Prosser, Privacy, 48 Calif. L. Rev. 3 (1960).
(9) Cass. 9 aprile 1998, n. 3679, Foro it., 1998, I, 1834.
(14) Sulle cifre sbalorditive di questo autentico blockbuster legislativo si rinvia ai minuziosi inventari di Greenleaf: il più recente -Countries with Data Privacy Laws- by Year 1973-2019, <www.ssrn.com> maggio 2019- ne annovera 134.
(10) Cass. 7559/29, § 5.3.
(15) Cass. 7559/20, § 5.4.1.
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA CIVILE soprattutto, per scongiurare il pericolo che la realtà off line “rimanga indietro rispetto a quella digitale, poiché ancorata alla vecchia definizione legata al diritto alla riservatezza e poco attenta alle dinamiche della nuova società dell’informazione”. Questo sforzo ricompositivo ha dalla sua valide ragioni: un po’ perché il controllo sui dati personali ha sempre esibito una vocazione totalizzante, da statuto generale dei diritti della personalità, sì che non sorprende che eserciti un’attrazione fatale sull’altro polo, tradizionalmente destrutturato; e, ancora, perché le differenze indotte dalla rivoluzione digitale sono eminentemente quantitative, anche se in misura così vistosa da divenire, con ogni probabilità, qualitative. Per intenderci: gli archivi storico-documentari dei giornali esistevano anche per l’addietro, in forma polverosamente cartacea prima, di più asettici microfilm poi, ed erano normalmente accessibili a chi avesse voluto fare ricerca; ora, invece, quegli stessi archivi sono digitalmente annidati in siti di consultazione assai più agevole, che possono, o meno, essere connessi alla rete, e, quando aperti ai crawler dei motori di ricerca -qui sta la differenza davvero cospicuadisponibili a chicchessia per virtù di un click o poco più. C’è quanto basta per giustificare l’aspirazione a un impianto omogeneo, salve le peculiarità dettate da ciò che prima, semplicemente, non c’era. E proprio su quest’ultimo profilo conviene appuntare l’attenzione. Salvo avvertire fin d’ora che quelle peculiarità finiranno col prendere il sopravvento, vanificando ogni sforzo di omogeneizzazione.
3. L’identità personale in divenire
I nuovi strumenti di diffusione hanno trasformato il rapporto tra la notizia ed il suo protagonista. La capacità conservativa della rete ha esteso gli effetti lesivi (della dignità, dell’onore e della reputazione) ben oltre l’afflato dei tradizionali mezzi di comunicazione di massa. (16). L’identità personale, infatti, non si esaurisce nell’identificazione della persona fisica (particolare funzione del nome) o nella tutela della sua rappresentazione visiva (divieto di utilizzo abusivo dell’immagine altrui), bensì copre l’insieme di valori e ideologie che compongono la figura sociale dell’interessato. Ovviamente il cd. “bagaglio” (17) personale dell’individuo non racchiude (16) Cfr. Tampieri, L’identità personale: il nostro documento esistenziale, in Europa e dir. priv., 2019, 1195, che analizza analogie e differenze tra l’identità personale, oggetto della nuova normativa sulla tutela dei dati personali, e diritto al nome e alla riservatezza. (17) Tampieri, cit., secondo la quale, costituendo l’identità personale l’insieme di valori e ideali dell’individuo, “si ha violazione dell’identità personale anche se le azioni o convinzioni attribuite al soggetto non sono lesive dell’integrità morale dell’interessato, come avviene per la violazione dell’onore; pertanto si ha lesione dell’identità anche se i fatti attribuiti, pur non essendo negativi o disdicevoli, rappresentano un’alterazione
soltanto dati relativi all’origine razziale o etnica, a opinioni politiche, religiose o filosofiche, all’appartenenza sindacale, a dati genetici, biometrici, concernenti la salute e l’orientamento sessuale della persona (18); si compone anche di tutte le azioni attribuibili al soggetto. In questa prospettiva, l’identità ai tempi di Internet promette (minaccia?) di essere più completa e veritiera di quella materialmente percepibile, in quanto riporta fedelmente ogni traccia digitale lasciata dal soggetto (e sono tante!); e potrebbe, al contempo, arricchirsi con eventuali aggiornamenti richiesti dallo stesso interessato (19) , sempre che una siffatta opportunità non apra il varco a una sorta di eugenetica dell’autobiografia a colpi di oscuramenti e cancellazioni di informazioni sgradite. Orbene, la principale obiezione mossa dai difensori della privacy rispetto alla fenomenologia della rete si concentra proprio sull’insufficienza dell’attualizzazione relativamente a fatti, che seppur ‘veri’ al tempo in cui si sono materializzati, non rispecchiano più l’effettivo modo di essere dell’interessato: sì che andrebbero rimossi dal pubblico dominio. Se, quindi, l’identità personale ha da essere una rappresentazione “fluida, necessariamente mutevole nel tempo e indeterminata” (20), si comprenderà quanto sia riduttivo tentare di rifletterla attraverso i dati fissi e immutabili della rete. L’identità viene, in questo modo, frammentata tra i vari contenuti condivisi: dall’interessato, da gestori di blog e siti o da terzi che, attraverso automatiche elaborazione dei dati originali, riescono a tracciare profili individuali (per scopi, più spesso che no, economici). Ogni informazione acquista una valenza potenzialmente autonoma, formando una pluralità di cd. “persone elettroniche”, emancipate dal contesto o distaccate dalla finalità per i quali erano state elaborate (ad es., la descrizione riportata da un articolo di cronaca nera si soffermerà su aspetti della vita del soggetto che presumibilmente si differenziano dai dati otte-
della storia identitaria della persona che quindi non corrisponde a verità”. (18) Le informazioni elencate costituiscono dati particolari, ai sensi dell’art 9, 1° par., Regolamento UE 679/2016, il cui trattamento è vietato se non nei casi eccezionali previsti al secondo paragrafo. (19) Messinetti - Di Ciommo, Diritti della personalità, in Martuccelli – Pescatore (a cura di), Dizionario giuridico, diretto da Irti, Milano, 2012, 5980, facendo leva sull’avvento delle nuove tecnologie, distinguono tra identità informatica e telematica. La prima nasce dall’utilizzo di dispostivi elettronici che elaborano i dati relativi all’individuo, al quale viene associata un’identità -informatica, per l’appunto-, che, tuttavia, rimane fissa e non può essere aggiornata automaticamente. Con Internet il quadro cambia in quanto la regina delle reti introduce nuovi meccanismi di conservazione e analisi dei dati. Le continue interazioni tra gli utenti e i gestori dei siti consentono il costante aggiornamento della cd. identità telematica, tanto da renderla molto vicina a quella reale. (20) Niger, Diritto all’informazione, diritti della personalità e archivi giornalistici online, in federalismi.it, 2013, 3.
DIRITTO DI INTERNET N. 3/2020
457
GIURISPRUDENZA CIVILE nuti dal suo profilo Facebook); e qui la metonimia asettica del dato rischia di produrre seri guasti. L’imperitura memoria della rete è ancora più pericolosa se si considera l’assoluta atemporalità con la quale il web rilascia le informazioni agli utenti. Gli indici dei motori di ricerca vengono proposti all’internauta senza un particolare ordine cronologico, propiziando l’erronea convinzione che i dati ivi contenuti siano contemporanei o vicini nel tempo (21): non una ripubblicazione, beninteso, ma una sempiterna riproposizione di fatti diacronicamente appiattiti. Le piattaforme di ricerca accumulano, quindi, una massa informativa disordinata ma facilmente accessibile, la quale, se non aggiornata, rischia di tracciare un’identità telematica da Doppelgänger, ben lontana da quella reale (22). In questo senso il cyberspazio costituisce un terreno strutturalmente predisposto allo spontaneo sviluppo di raffigurazioni, data la difficoltà di controllare sia la circolazione delle informazioni che il loro costante upgrade. Se questa è la piaga, non può darsi per scontato che vi si debba ovviare a colpi di cesoie e censure. Sotto questo profilo, bisogna dare atto alla sentenza in epigrafe di sano realismo nell’escludere che possa darsi ingresso a “una vera e propria pretesa alla cancellazione del proprio passato” (23). Evitando appiattimenti da notte hegeliana, dove tutto diventa indistinto (24), si può con-
(21) Per Messina, Il diritto all’oblio tra vecchie e nuove forme di comunicazione, in Diritto mercato tecnologia, 2016, 105, “[p]oiché la rete non è in grado autonomamente di concepire il normale fluire del tempo, è necessario che tale senso temporale venga ripristinato dall’esterno in modo tale da garantire un giusto bilanciamento tra l’esigenza di tutela dell’identità attuale dei soggetti coinvolti e il diritto dei cittadini ad una completa ed aggiornata informazione. In tale prospettiva è necessario leggere l’obbligo imposto dal Garante per la protezione dei dati personali circa la predisposizione da parte dei siti di informazione di appositi archivi storici che, pur garantendo la permanenza delle informazioni in rete, consentono tecnicamente di sottrarre la diretta individuabilità delle decisioni ivi contenute per il tramite dei comuni motori di ricerca esterni”. (22) Pardolesi – Di Ciommo, Dal diritto all’oblio in Internet alla tutela dell’identità dinamica. È la rete bellezza!, in Danno e resp., 2012, 701, in nota a Cass. 5525/2012, cit., rilevano come l’insieme di informazioni presenti in Internet -se prese a valore facciale nell’ingenuo presupposto che quegli archivi siano aggiornati, attuali e corrispondenti alla realtà- sia in grado di influenzare pesantemente l’opinione pubblica. (23) Cass. 7559/20, § 5.5. (24) È certamente ragionevole opinare, come fa Di Ciommo, Archivi digitali (onnivori) e diritti fondamentali (recessivi), in Aa.Vv., Il trattamento algoritmico dei dati tra etica, diritto ed economia, Atti del 14° Convegno Nazionale della SISDIC, Napoli, in corso di pubblicazione per i tipi di ESI, che “qualsiasi strumento informatico vada considerato archivio digitale o, quanto meno, vada considerato collegato a, o basato su, un archivio digitale”, perché, alle strette, “tutti gli strumenti informatici creano ed usano, alcuni per frazioni temporali molto brevi ed altri invece in modo duraturo nel tempo, archivi digitali in quanto tutto ciò che essi fanno è trattare dati in formato digitale, o più precisamente mappare dati su informazioni”. Ciò corrisponde alla considerazione d’insieme. Quando, però, si restringa l’angolo di visuale, ha evidentemente ancora senso di-
458
DIRITTO DI INTERNET N. 3/2020
venire -con riserva di tornare sul punto tra un momento, per trarne le debite implicazioni- che l’esplorazione della rete tramite motore di ricerca si presta persino a curiosità episodiche, quando non morbose, laddove gli archivi documentari svolgono una funzione provvida di memoria storica. Nelle due circostanze il bilanciamento fra opposti interessi potrà risultare profondamente diverso. Il rimedio adeguato nell’una circostanza non sarà necessariamente accettabile nell’altro.
4. La giurisprudenza sul diritto all’oblio: tutti insieme appassionatamente?
Dopo l’incipit didascalico di cui s’è detto, la sentenza procede ad un meticoloso excursus sulle pronunce emesse con riguardo al diritto all’oblio in ambito europeo e nazionale. Nulla di sorprendente: anzi, quasi un vezzo di tutte le pronunce in materia, che sogliono seguire questa traiettoria, resa praticabile dall’origine relativamente recente della questione. Colpisce, non di meno, la vena ottimistica con cui il collegio persegue il disegno di offrire un quadro “unificante di una materia magmatica ed innovativa quale quella della tutela del diritto all’oblio”. Ebbene, il tentativo merita alcune osservazioni, sia per i precedenti citati, sia per la conclusione raggiunta. Immancabile punto di partenza è la celebre sentenza Google Spain (25), la più draconiana quanto a risultato, posta la sua determinazione nel sancire la prevalenza dell’interesse dell’individuo a ottenere il de-listing, ossia la rimozione dei link del motore di ricerca che collegano la query col suo nome a una notizia non più esatta (lasciando impregiudicata l’informazione nel sito di origine), senza che sia necessario, per l’istante, dimostrare un qualche vulnus derivante dalla presenza in rete della notizia stessa. Si procede con l’analisi di casi quali Manni (26) (e siamo ancora di fronte alla Corte di giustizia), Fuchsmann c/o Germania (27), M.L. e W.W. c/o Germania (28) e, infine, Magyar Jeti Zrt c/o Ungheria (29) (aggiudicati dalla Corte europea dei diritti dell’uomo). Da questa rassegna, annodando citazioni e affermazioni di princi-
stinguere gli archivi vocazionalmente destinati a una funzione documentaristica. (25) Corte giust. Ue 13 maggio 2014, causa C-131/12, Foro it., 2014, IV, 295. (26) CGCE 9 marzo 2017, causa C-398/15, Foro it., 2017, IV, 165. (27) C. eur. dir. umani 19 ottobre 2017, <www.echr.coe.int>, commentata da Bonavita- Pardolesi, La Corte europea dei diritti dell’uomo, contro il diritto all’oblio?, in Danno e resp., 2018, 149, nonché da Mazzanti, Vecchio sospetto di reato e diritto all’oblio. A proposito di una recente sentenza della corte di Strasburgo, in <www.penalecontemporaneo.it>, 4/18, 215 (28) C. eur. dir. umani 28 giugno 2018, < www.echr.coe.int>. (29) C. eur. dir. umani 4 dicembre 2018, <www.echr.coe.int>.
GIURISPRUDENZA CIVILE pio, si vuol far emergere la conclusione che, in presenza di notizie datate - ancorché il lasso di tempo necessario a definirle tali resti nel vago-, i giudici europei tendono a privilegiare le ragioni della privacy, mentre l’esito cambia se alla protezione del dato si contrappongono forme obbligatorie di pubblicità a tutela dei rapporti economici e dell’ordine pubblico, con la puntualizzazione, però, che la cancellazione può essere concessa in presenza di “ragioni preminenti e legittime connesse alla situazione particolare” (30). Che le sentenze evocate esibiscano un ordito coerente è, a tutto concedere, wishful thinking (31). In particolare, la Corte di Strasburgo inclina a prendere assai più sul serio il peso del diritto all’informazione (32), secondo un approccio che in un caso trascurato dall’odierna decisione si spingeva sino a delineare una sorta di intangibilità per ricadute documentarie di informazioni non corrette. Infatti, nella pronuncia Węgrzynowski e Smolczewski, datata 16 luglio 2013, si riconosceva che “it is not the role of judicial authorities to engage in rewriting history by ordering the removal from the public domain of all traces of publications which have in the past been found, by final judicial decisions, to amount to unjustified attacks on individual reputations” (33). Insomma, a guardarle più da presso, queste testimonianze giudiziali si rivelano tutt’altro che allineate e coperte.
(30) CCCE 9 marzo 2017, causa C-398/15, cit. (31) Ne rende sintetica testimonianza, in margine ad un atelier di fresca data tenutosi presso la Cour de cassation d’oltralpe, con la partecipazione dei rappresentanti delle supreme giurisdizioni europee, Soulard, L’articulation entre la liberté d’expression et le droit au respect de la vie priveé, in Dalloz, 2020, 504 s., che, contrapponendo le contrastanti impostazioni, raccoglie i tanti dubbi sulla legittimità della propalazione di “faits concernant les conjoints, amants, maîtresses et enfants d’hommes politiques, artistes ou sportifs connus”, posto che, “s’il existe un droit du public à être informé, ce droit ne justifie pas toutes le révelations sur les détails de la vie privée, quelle que soit la notorieté de la personne en cause”. E incalza ancora: “Il s’agit de savoir si une information dont la publication se justifiait au moment oũ elle est apparue pour la pemiére fois, par example une condamnation pénale, doit pouvoir être maintenue indéfiniment à la disposition du public”, perché qui, allo stesso modo in cui trova spazio il diritto alla prescrizione, emerge il diritto all’oblio e, “[q] uel’on se situ eau niveau d’une societé ou de l’individu, l’oublì est una fonction vitale”. (32) Controspinta che si avverte, altresì, nei due più recenti interventi della Corte di giustizia, che la sentenza in rassegna non ha fatto in tempo a censire: si allude a CGCE 24 settembre 2019, causa C-507/17, Google c. CNIL, e causa C-136/17, GC e altri c. CNIL, entrambe in Foro it., 2019, IV, 572. (33) C. eur. dir. umani 16 luglio 2013, <www.echr.coe.int>. Per un commento alla pronuncia v. Di Ciommo, Quello che il diritto non dice. Internet e oblio, cit,, che la mette a confronto con il precedente major nella giurisprudenza nazionale, ossia Cass. n. 5525/12, cit., la quale ha optato per una tutela più pervasiva dell’identità del singolo, imponendo ai provider il compito di preservarla in via autonoma. V. altresì Vigevani, Identità, oblio, informazione e memoria: in viaggio da Strasburgo a Lussemburgo, passando per Milano, in Danno e resp., 2014, 731.
Si torna poi in Italia, dove la Suprema corte, in una decisione del 2012 resa proprio in relazione agli archivi on line dei quotidiani -ci si dovrà ritornare-, affermava che la notizia non aggiornata è “parziale e non esatta, e pertanto, sostanzialmente non vera”, statuendo l’obbligo, per i gestori dei siti, di assicurare il costante monitoraggio dei dati trattati e il loro automatico aggiornamento (34). Obbligo che diviene ancor più pervasivo se si ritiene che l’obsolescenza dell’interesse collettivo all’informazione maturi già alla scadenza del biennio, che, a ben vedere, è il numero minimo per poter parlare di anni al plurale (35). La libertà di espressione soccombe, invece, al ricorrere della diffamazione, in assenza di un legittimo scopo informativo (36); mentre Cass n. 6919/18 si è incaricata di delineare una sorta di manifesto sul diritto all’oblio, enucleando i criteri fondamentali nel bilanciamento cronaca-privacy (37). Ora, raccogliere un’intera traiettoria giurisprudenziale (per di più transnazionale) in poche pagine è impresa sempre perigliosa, comunque esposta al rischio di far emergere ciò che si cerca, piuttosto che la disperante eterogeneità delle argomentazioni intrecciate e dei loro esiti giudiziali. Di fatto, l’unico elemento comune che ricorre pressoché a chiusura di tutte le sentenze passate in rassegna esprime la fatica dell’ovvio, in forma di in-
(34) Cass. 5525/12, cit., commentata da di Majo, Il tempo siamo noi ..., in Corriere giur., 2012, 769; Di Ciommo - Pardolesi, Trattamento dei dati personali e archivi storici accessibili in Internet: notizia vera, difetto di attualità, diritto all’oblio, in Danno e resp., 2012, 747; Finocchiaro, Identità personale su Internet: il diritto alla contestualizzazione dell’informazione, in Dir. inf. e inform., 2012, 383; Frosini, Il diritto all’oblio e la libertà informatica, ibid., 911; Mantelero, Right to be forgotten ed archivi storici dei giornali - La Cassazione travisa il diritto all’oblio, in Nuova giur. civ. comm., 2012, I, 843; Citarella, Aggiornamento degli archivi online, tra diritto all’oblio e rettifica «atipica», in Resp. civ., 2012, 1155; Bellante, Diritto all’identità personale e obbligo di aggiornamento degli archivi storici di testate giornalistiche, in Giur. it., 2013, 1073; v. anche Fasoli, Diritto all’oblio nel web 2.0: l’irresponsabilità del motore di ricerca - A proposito di Cass. civ., sez. III, 5 aprile 2012, n. 5525, in Studium iuris, 2014, 165). (35) Cass. 24 giugno 2016, n. 13161, Foro it., 2016, I, p. 2729. Per una critica alla soluzione adottata dal collegio giudicante si segnala Pardolesi, L’ombra del tempo e (il diritto all’oblio), in Questione giustizia, 2017. (36) Cass. 26 giugno 2013, n. 16111, Foro it., 2013, I, 2442, che disponeva: “In tema di diffamazione a mezzo stampa, il diritto del soggetto a pretendere che proprie, passate vicende personali siano pubblicamente dimenticate (nella specie, c.d. diritto all’oblio in relazione ad un’antica militanza in bande terroristiche) trova il limite nel diritto di cronaca solo quando sussista un interesse effettivo ed attuale alla loro diffusione, nel senso che quanto recentemente accaduto (nella specie, il ritrovamento di un arsenale di armi nella zona di residenza dell’ex terrorista) trovi diretto collegamento con quelle vicende stesse e ne rinnovi l’attualità. Diversamente, il pubblico ed improprio collegamento tra le due informazioni si risolve in un’illecita lesione del diritto alla riservatezza, mancando la concreta proporzionalità tra la causa di giustificazione (il diritto di cronaca) e la lesione del diritto antagonista” (37) Cass., ord. 20 marzo 2018, n. 6919, Foro it., 2018, I, 1145, con nota di Pardolesi – Bonavita, Diritto all’oblio e buio a mezzogiorno.
DIRITTO DI INTERNET N. 3/2020
459
GIURISPRUDENZA CIVILE vito a modulare l’equilibrio tra interessi, del pubblico a conoscere e del privato a celare nel dimenticatoio. La ricostruzione giurisprudenziale finisce con l’ultima e più autorevole presa di coscienza proveniente da piazza Cavour. Le sezioni unite, invocate perché -missione davvero impossibile- dettassero una volta per tutte i termini del bilanciamento fra opposti diritti in margine a una richiesta di oblio proveniente da un omicida riabilitato da dodici anni di detenzione (38), si sono chiuse nell’angolo ed autoemarginate col premettere che, “quando un giornalista pubblica di nuovo, a distanza di un lungo periodo di tempo, una notizia già pubblicata - la quale, all’epoca, rivestiva un interesse pubblico -, egli non sta esercitando il diritto di cronaca, quanto il diritto alla rievocazione storica”, per concludere che, nei “rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all’oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti” (39). Con quello che appare quasi un gioco di prestigio, la suprema istanza nomofilattica rinuncia alla sua funzione, sostituendo -nella valutazione comparativa degli interessi coinvolti- il diritto di cronaca con il (meno urgente) diritto alla storiografia (e producendo, anche rispetto a questo più limitato spettro applicativo, un responso poco convincente). Chi si aspettava un’indicazione affidante (come l’odierno collegio giudicante rispetto all’interrogativo “se gli archivi storici on line possiedano una sorta di primato, garantito dalla libertà di stampa e di informazione […], alla conservazione storica di fatti e vicende concernenti eventi del passato”) ha visto deluse le proprie aspettative.
pubblicazione (40) (che non ammette ‘amputazioni’ a pena di disperdere la storicità e completezza che lo dovrebbero caratterizzare), la sentenza approda allo snodo cruciale là dove riconosce che il tentativo di fornire un quadro unificante manca l’obiettivo, perché le divaricazioni scompaginano le convergenze sino a far toccare con mano l’impossibilità di una reductio ad unum (41). Occorre, piuttosto, raccordare la tutela “alla fattispecie concreta, tenendo in debita considerazione le tecniche di veicolazione e circolazione dell’informazione utilizzate”. In soldoni, distinguere sulla base del medium utilizzato, ritagliando i rimedi in funzione della conformazione della vicenda contenziosa. Quanto dire, riguardo al caso che ci occupa, che la necessità di trovare un punto di equilibrio tra la finalità storico-documentaristica propria degli archivi e il dritto a non veder sovraesposte vicende ingrate della propria vita fa capitolo a sé. Dando per assodato che lo scopo degli archivi storici sia la raccolta e conservazione dei documenti (42), in quanto tali dotati di “una cospicua rilevanza per la vita sociale” (43), a dispetto del tempo trascorso rispetto all loro produzione originale, va da sé ch’essi possano mettere a repentaglio l’aspirazione all’oblio. La minaccia è ancora maggiore laddove i suddetti archivi vengano connessi ad Internet e resi ostensibili a chiunque abbia voglia di scrutinarli. Appare allora chiaro come la criticità non sia legata all’esistenza dell’informazione nell’archivio (digitale o cartaceo che sia), ma alla facilità con cui vi si accede. Ciò che davvero preme ottenere, quindi, non è tanto la cancellazione dal sito, quanto la deindicizzazione dal motore di ricerca, che fa da veicolo di propagazione del dato. Ed è proprio questa la conclusione attinta dalla sentenza in epigrafe, la qua-
5. I termini del bilanciamento
(40) Cass. 7559/80, § 5.7.3.1.
Doppiato il capo della panoramica giurisprudenziale e rilevata, di scorcio (con le parole del Procuratore generale), la vocazione documentaristica dell’archivio di una
(38) Cass., ord. 5 novembre 2018, n. 28084, Foro it., 2019, I, 227, con nota di Pardolesi - Sassani, Bilanciamento tra diritto all’oblio e diritto di cronaca: il mestiere del giudice; su cui v. anche Di Ciommo, Oblio e cronaca: rimessa alle sezioni unite la definizione dei criteri di bilanciamento, in Corriere giur., 2019, 5 nonché Le sezioni unite chiamate a fare chiarezza su quando il diritto di cronaca prevale sul diritto all’oblio, in questa Rivista, 2019, 89. (39) Cass., sez. un., 22 luglio 2019, n. 19681, Foro it., 2019, I, 3071, con nota di Pardolesi, Oblio e anonimato storiografico: «usque tandem...»? (annotata altresì da Cuffaro, Una decisione assennata sul diritto all’oblio, in Corriere giur., 2019, 1195; Muscillo, Oblio e divieto di lettera scarlatta, in Danno e resp., 2019, 611; Bonetta, Diritto al segreto del disonore - «Navigazione a vista» affidata ai giudici di merito, ibid., 614; Calabrese, Rievocazione storica e diritto all’oblio, ibid., 620; Poletti- Casarosa, Il diritto all’oblio (anzi, i diritti all’oblio) secondo le sezioni unite, in questa Rivista, 2019, 724).
460
DIRITTO DI INTERNET N. 3/2020
(41) Cass. 7559/20, § 5.8 ss. (42) Bellante, cit., osserva che l’archivio giornalistico, o emeroteca, consiste in una raccolta di articoli di stampa la cui funzione e ragione d’essere, al pari di ogni altro archivio storico, è quella di tramandare la memoria delle vicende salienti di un’epoca attraverso la conservazione di documenti che attestano la verificazione di un fatto (diritto di cronaca) o la divulgazione di un’opinione relativa ad un fatto (diritto di critica) accaduto in un certo momento del passato. La finalità di un archivio storico è quella di consentire l’indagine, la ricerca, la documentazione e lo studio in relazione a persone, fatti e circostanze del passato attraverso la conservazione, l’accesso e la consultazione dei documenti che ne conservano la memoria (c.d. fonti), rispetto ai quali un obbligo di aggiornamento non appare neppure concepibile: l’archivio storico, infatti, per sua stessa natura, ha il fine di fornire “dati storici”, cioè dati risalenti ad una certa epoca del passato e, quindi, necessariamente non aggiornati. (43) La citazione è tratta da Trib. Milano, 15 maggio 1995, in Dir. inf. e inform., 1996, 424, con nota di Napolitano, Il diritto all’oblio esiste (ma non si dice) e in Dir. fam. e pers.,1998, 78, con nota di Cassano, Il diritto all’oblio esiste: è diritto alla riservatezza. Sulla questione, più ampiamente, Cassano, Identità personale e risarcimento del danno nel quadro dei diritti della personalità, Napoli, 1999.
GIURISPRUDENZA CIVILE le rileva che, nel contenzioso in atto, “non emergeva, tecnicamente, l’esigenza di tutelare il diritto all’oblio, (…) bensì la differente esigenza dell’interessato a che la notizia in questione non fosse resa disponibile on line”. Ma il discorso non si chiude qui. Perché la tutela dell’identità personale impone di garantire anche la corretta rappresentazione dei soggetti i cui dati rimangono nell’archivio, volgendo la pretesa di essere dimenticati, perseguita inseguendo e scardinando le molteplici modalità divulgative che la rete ha innescato, in quella di essere ricordati correttamente. Il nuovo Regolamento (UE) 679/2016 mira proprio a questo obiettivo: di là dal diritto all’oblio come diritto alla cancellazione, esso contempla svariati strumenti per fronteggiare l’illecito trattamento dei dati, quali il diritto di rettifica (art. 16), la richiesta di limitazione del trattamento (art. 18), il diritto di opposizione (art. 21, rafforzato in occasione di trattamenti automatizzati art. 22). Viene così profilandosi, sia pure con tratti ancora stentati e relativamente indistinti, una sorta di scansione per Fallgruppen, tipi di casi, per ciascuno dei quali si delinea uno schema di massima di bilanciamento, da calare poi negli anfratti del caso di specie, con gli eventuali correttivi del caso. Nel confronto fra aspirazione generica al controllo dei propri dati personali e pretesa altrettanto generica di essere informati a colpi di Google e dintorni con riguardo a vicende pregresse, per le quali non sussiste un interesse pubblico attuale alla conoscenza (ma solo una qualche curiosità, alle volte epidermica, talora futile e sinanche morbosa), prevale tendenzialmente (a far tempo dalla sentenza Google Spain) la prima, nel segno dell’esercizio idiosincratico del diritto a controllare il flusso dei dati riguardanti la propria persona (44). E, poiché il punctum dolens è rappesentato dall’amplificata visibilità in rete, si privilegia il rimedio del de-listing (45),
(44) Come, con riguardo alla ‘rivoluzionaria’ sentenza del 2014, rileva Gstrein, Right To Be Forgotten: European Imperialism, National Priilege, or Universal Human Right?, www.ssrn.com, 2019, “[t]he ECJ was solely focusing on the consequences for an individual (whose life is not of interest to the general public - legal entities such as a company, foundation or political party are excluded as well) in a case where irrelevant, yet controversial, personal data of the past was easily retrievable through the use of a search engine. The Grand Chamber of the ECJ found that in such a case, an unjustified distortion of the public image of a person took place!” (p. 6). (45) Attenzione, però. Perché “[i]ncombe … al gestore di un motore di ricerca valutare, nell’ambito di una richiesta di deindicizzazione riguardante link verso pagine web nelle quali sono pubblicate informazioni relative a un procedimento penale a carico della persona interessata, che si riferiscono a una fase precedente di tale procedimento e non corrispondono più alla situazione attuale, se – tenuto conto di tutte le circostanze del caso di specie, quali, in particolare, la natura e la gravità dell’infrazione di cui trattasi, lo svolgimento e l’esito di tale procedura, il tempo trascorso, il ruolo rivestito da tale persona nella vita pubblica e il suo comportamento in passato, l’interesse del pubblico al momento della richiesta, il contenuto e la forma della pubblicazione nonché le ripercussioni della pubblicazione per tale persona – la persona interessata
drastico ma settoriale, in quanto non mette in discussione la presenza del dato nel sito sorgente specializzato, limitandosi a sottrarlo allo scandaglio frontale dei motori di ricerca (46). Se, invece, il conflitto coinvolge un database con valenza documentaria (e ridotta ostensibilità), che accumula dati legittimamente acquisiti e li conserva per finalità di ricerca, analisi storiografica e quant’altro, la richiesta di cancellazione non supportata da ragioni solide (diffamazione etc.) diviene recessiva, nella misura in cui pretende di riscrivere la storia a proprio piacimento, e cede il passo -ove l’interessato faccia valere l’attuale inesattezza dell’informazione archiviata in ragione di vicende occorse successivamente alla sua prima divulgazione, con conseguente pericolo di vulnus all’integrità della sua immagine sociale- all’istanza di contestualizzazione, ossia all’aggiornamento del dato in vista degli sviluppi determinatisi dopo la sua legittima acquisizione, secondo una logica che riflette il diritto di replica contemplato dalla legge sulla stampa. Si tratta di un profilo delicato, perché, per questa via, si recide la corrispondenza fra supporto cartaceo e sua traduzione digitale, a suo tempo invocata per giustificare l’immodificabilità dei dati archiviati. Ma è altresì evidente che, se non si può integrare ciò che è stato consegnato alla pagina diffusa in passato (ma solo smentirlo retrospettivamente ove sussista l’interesse a farlo), la tecnologia informatica
abbia diritto a che le informazioni di cui trattasi non siano più, allo stato attuale, collegate al suo nome mediante un elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire da tale nome”: CGUE 24 settembre 2019, causa C-136/17, cit., § 77). Quanto dire che, anche in presenza della “messa a disposizione su Internet, da parte dei vari media, di vecchi reportage su un processo penale”, la ricerca del giusto equilibrio può indurre a privilegiare l’interesse del pubblico “non solo ad essere informato di un avvenimento di attualità, ma anche a poter effettuare ricerche su avvenimenti passati, pur essendo, tuttavia, variabile l’ampiezza dell’interesse del pubblico quanto ai procedimenti penali e pur potendo evolvere nel corso del tempo a seconda, in particolare, delle circostanze del caso” (ibid.; § 76). Anche in questo caso, peraltro, il gestore del motore di ricerca è “tenuto, al più tardi al momento della richiesta di deindicizzazione, a sistemare l’elenco dei risultati in modo tale che l’immagine globale che ne risulta per l’utente di Internet rifletta la situazione giudiziaria attuale, il che necessita, in particolare, che compaiano per primi, nel suddetto elenco, i link verso pagine web contenenti informazioni a tal proposito” (ibid., § 78). Indicazione nella quale, a dire di Douville, Les variations du droit au déréféncement, in Dalloz, 2020, 515, 519, si esprime l’esigenza di “ loyauté du traitement des données”, comunque condizionata -ed è rilievo che tornerà provvido da un momento- ad apposita domanda in tal senso. (46) La sentenza in epigrafe (§ 5.11.3 e 7.1) precisa che “il generico rinvio [all’archivio, ove “la pagina web contenente l’articolo è conservata, con il relativo aggiornamento, ed al quale l’utente può accedere esclusivamente entrando direttamente nell’archivio”], inserito nello spazio deindicizzato, non è tale da porsi in violazione delle norme di legge in materia, né costituisce un argomento su cui censurare la decisione impugnata. Il bilanciamento degli interessi contrapposti, anche sotto questo ultimo aspetto, nel dare prevalenza alla storicità della notizia, ha consentito di inquadrare l’attività di mero richiamo dal sito deindicizzato, per il tramite di un link, nell’ambito di una attività lecita giuridicamente”.
DIRITTO DI INTERNET N. 3/2020
461
GIURISPRUDENZA CIVILE offre l’opportunità di agevolare la ricomposizione del quadro adeguato. Per il caso di notizia inequivocamente falsa e lesiva della reputazione dell’interessato, è ancora possibile la cancellazione dall’archivio informatico (ciò che vale ad aumentare il distacco dalla controparte cartacea, che non può essere concretamente inseguita all’indomani della sua diffusione). Ma anche in questo caso andrebbe valutato, e se del caso preferito, l’impatto di una smentita, che denunci e condanni l’affermazione offensiva e inveritiera, screditando chi l’ha propalata, a fronte di un mero atto di censoria rimozione (47).
(47) Utili spunti di riflessione rinvengono da due sentenze rese in pari data, sul finire dell’anno scorso, dalla Corte costituzionale tedesca: BVerfG 6/11/2019, 1 BvR 16/13, Recht auf Vergessen I, e 1 BvR 276/17, Recht auf Vergessen II, entrambe in NJW, 2020, 300 e 314 (alla coppia si è aggiunta di recente, sempre in materia di diritto all’oblio e obbligazioni a carico dei motori di ricerca, BVerfG 25/2/2020, 1 BvR 1282/17, <www.bverfg. de>). Le pronunce del 2019 hanno grande rilievo costituzionale: la prima assume, come paradigma per lo scrutinio di legittimità costituzionale, i principi fissati dal Grundgesetz, nel presupposto che la disciplina eurounitaria rilevante lasci un qualche margine decisionale agli Stati membri, mentre la seconda assume un’armonizzazione piena e, per la prima volta, induce la Corte di Karlsruhe ad applicare gli standard valutativi europei, reificando un altro episodio del tormentato affaire tra BVefG e Cgue (e producendo uno shock costituzionale su cui si è appuntata l’attenzione prevalente della dottrina: ci si limita qui a rinviare ai sette contributi raccolti nel primo fascicolo 2020 della German Law Review). Sul piano sostanziale, viene delineata, in chiave di mittelbare Drittwirkung dei principi costituzionali, una tutela ‘forte’ del diritto generale della personalità nelle sue varie declinazioni, senza che, però, esso possa mai tradursi nella scelta unilaterale dell’interessato su quali informazioni attinenti alla sua persona possano rimanere accessibili e quali, viceversa, debbano essere deindicizzate. In effetti, la prima sentenza riguarda un caso da oblio classico: il ricorrente si lagnava di articoli comparsi su Der Spiegel a proposito di un duplice omicidio commesso nel 1981 durante una traversata atlantica, con susseguente condanna a vita dell’autore del misfatto e sua scarcerazione vent’anni dopo: l’unica variante rispetto al calco usuale era rappresentata dall’esser la doglianza riferita alla sola ‘retrievability’ degli scritti nell’archivio on line del periodico in forza di una ricerca basata sul nome del ricorrente. IL BVerfG accoglie il ricorso e, smentendo l’impugnata decisione del Bundesgerichtshof, riconosce l’obbligo, per il motore di ricerca che abbia ricevuto sollecitazione in tal senso, di limitare l’accessibilità dell’informazione. In particolare, si tratta di operare un bilanciamento tra diritto dell’interessato ad esser protetto con riguardo alla diffusione di affermazioni che riguardano la sua persona (Äußerungsrecht; nella circostanza, dunque, non rileva il diritto all’autodeterminazione informativa: § 79 ss.) e libertà di manifestazione del pensiero (nel caso sub specie di Pressefreiheit, § 93 ss.). In questa valutazione comparativa di interessi costituzionalmente protetti suole giocare un ruolo importante il tempo; così non è, però, per le moderne tecnologie, che prescindono dalla dimensione temporale, in virtù di una sempiterna accessibilità. Di qui la necessità di proteggere l’individuo da un’esposizione illimitata, che trova espressione, appunto, nella costruzione del “Recht auf Vergessen” (§ 105 ss., con la precisazione che “Insbesondere gibt es kein Recht, öffentlich zugängliche Informationen nach freier Entscheidung und allein eigenen Vorstellungen zu filtern und auf die Aspekte zu begrenzen, die Betroffene für relevant oder für dem eigenen Persönlichkeitsbild angemessen halten”, § 107). Ne discende che: a) se la notizia è stata in origine pubblicata legittimamente, il responsabile dell’organo di comunicazione sarà legittimato a caricarla sull’archivio on line, salvo dover adottare misure per limitarne l’accessibilità solo a seguito di istanza dell’interessato (§ 117 ss.); b) occorre valutare in quale misura la presenza in rete della
462
DIRITTO DI INTERNET N. 3/2020
Sembra ragionevole ritenere che sia questo, con qualche approssimazione razionalizzante, l’ordito risultante dal pensoso peregrinare della sentenza in epigrafe. In ogni caso, peraltro, la soluzione del caso concreto riesce agevole. Avallando in toto la decisione sottostante del giudice meneghino, la Cassazione rimarca, innanzitutto, che la rilevanza sociale dell’informazione non poteva ritenersi decaduta per il solo trapasso dell’interessato, né poteva essere esclusa in ragione della sua natura particolare, in quanto riferita a dati giudiziari: a maggior ragione in vista del loro riferimento al settore economico, posto che “non può seriamente contestarsi il potenziale interesse pubblico a conoscere la storia di un primario attore nell’ambito economico nazione” (48). Tuttavia, ciò non varrebbe ad esimere il titolare del trattamento da un doveroso aggiornamento della notizia, così come suggerito dal precedente del 2012: esigenza che, nella fattispecie non si pone, perché le precisazioni inserite spontaneamente dall’editore sugli esiti del procedimen-
notizia impatti negativamente sulla sua vita privata (§ 120 ss.); c) va attentamente modulato il rimedio esperibile, preservando al massimo grado possibile l’accesso senza restrizioni al testo originario, ma al contempo assicurando la meritata protezione dell’individuo mercé restrizioni adeguate all’ostensibilità dei dati (§ 128 ss.; v., in particolare, § 130, sulla più ridotta necessità di tutela per gli archivi rispetto al sottostante giornale, e § 131, ov’è prospettato l’illanguidirsi dell’interesse del privato a fronte di informazioni non facilmente disponibili). Ciò implica, per il caso di specie, una soluzione sfumata: “In der Tat durfte der Bundesgerichtshof zwar eine anlasslose Pflicht zur ständigen Überprüfung des Onlinearchivs auf eine mögliche veränderte Bedeutung personenbezogener Informationen ebenso ausschließen wie eine generelle Pflicht, beeinträchtigende alte Berichte durch endgültige Löschungen zu verändern oder einem Onlinezugriff insgesamt zu entziehen. Näher in Betracht zu ziehen wäre indessen gewesen, ob dem beklagten Presseunternehmen auf die Anzeige des Beschwerdeführers hin zumutbare Vorkehrungen hätten auferlegt werden können und müssen, die zumindest gegen die Auffindbarkeit der Berichte durch Suchmaschinen bei namen-sbezogenen Suchabfragen einen gewissen Schutz bieten, ohne die Auffindbarkeit und Zugänglichkeit des Berichts im Übrigen übermäßig zu hindern. Zwar mögen die hierfür erforderlichen Maßnahmen technisch nicht trivial sein. Es ist jedoch nicht ersichtlich, dass sie, wenn sie auf eine begrenzte Zahl vergleichbar gra-vierender Fallgestaltungen wie der vorliegenden beschränkt bleiben, dem beklagten Presseverlag von vornherein unzumutbar sein müssten”. La seconda decisione, riferita a un servizio televisivo sugli ‘sporchi giochi’ dei datori di lavoro in danno di dipendenti, è (anche in ragione di una risalenza temporale neppur troppo marcata- contraria al ‘de-listing’ (per un primo commento dei due verdetti del BVerfG, esteso anche ai profili sostantivi su indicati, v. Bekritsky, BVerfG zum “Recht auf Vergessen”, in OnlineZeitschrift für Jurastudium, Staatsexamen und Referendariat, 16 marzo 2020, e Herzog, Dialogue and diversity. The “right to be forgotten”-decisions of the Federal constitutional Court, in MediaLaws, 1/2020). Invece, la sentenza più recente respinge senza incertezze la richiesta, avanzata dal figlio di un personaggio politico bvarese, di veder espunto il proprio nome dal testo di un Porträtbeitrag sul genitore, perché la pubblicizzazione del rapporto familiare non è idonea, di per sé, a generare conseguenze di rilievo. Conta altresì, agli occhi dei giudici (v.§ 15), l’inconsistenza dell’interesse sotteso all’istanza di deindicizzazione (il collegamento appariva nella quinta pagina dei risultati della ricerca, più o meno fra il 40.mo e il 50.mo posto nella lista…). (48) Cass. 7559/12, § 5.10.3.
GIURISPRUDENZA CIVILE to penale, con capi di imputazione in parte caduti in prescrizione, in parte dismessi per difetto di querela, e in soli due casi approdati all’assoluzione nel merito, risultava corrispondente a realtà, senza che potesse parlarsi, come avrebbe voluto il ricorrente, di ”proscioglimento”. Mette conto notare come, a questo riguardo la sentenza n. 5525/12 si fosse spinta, sull’onda di un massimalismo assai rigoroso, sino a postulare l’obbligo, per il gestore del sito archivistico, di provvedere autonomamente all’aggiornamento, pena -per l’ipotesi di mancato assolvimento dell’obbligo- la responsabilità risarcitoria nei confronti della persona negativamente incisa dall’incompletezza/inesattezza dei dati riportati. La soluzione, apparsa già problematica al Tribunale di Milano (49), aveva riscosso forti critiche dottrinarie (50), per l’incongruità di un onere che, dettato dalla volontà di perseguire le proverbiali buone intenzioni, rischiava di cortocircuitare la stessa disponibilità degli archivi. Sul punto, e sia pure con molto garbo istituzionale, l’odierna pronuncia prende le distanze dal disegno d’imporre misure tecniche determinate nell’an (sistemi capaci di segnalare gli sviluppi delle notizie), ma non nel quomodo e nel quantum: essa inclina, piuttosto, a suggerire l’applicazione del medesimo regime di (ir)responsabilità elaborato per i provider, i quali sono tenuti all’aggiornamento del contenuto solo a seguito di un’opportuna segnalazione dell’interessato stesso, sulla base di un regime di notice and take down (51). Quanto dire che miglior partito, a fronte dell’inesigibilità di una revisione manutentiva costante del patrimonio informativo, sarebbe quello di lasciare all’interessato il compito di segnalare l’irregolarità, rivolgendo l’istanza di rettifica al gestore del sito o, qualora quest’ultimo non vi provvedesse, all’autorità competente. (52).
6. Habeas data post mortem
In ultimo il collegio risponde alla censura in ordine all’accertamento della legittimazione attiva del ricorrente. E lo fa in poche battute, rinviando, nella sostanza, alle argomentazioni del giudice di prime cure, che -come anticipato- aveva negato la possibilità, per il figlio, di attivarsi sulla base di un “interesse proprio sub specie di tutela del proprio nome, della propria reputazione ed immagine sociale”, riconoscendogli la legittimazione ad agire nella sola qualità di erede dell’interessato. La stringatezza del responso sul destino post mortem dei dati, e dei diritti loro associati (53), non aiuta a dissipare i dubbi. Per un verso, l’art. 9 cod. privacy (applicabile ratione temporis (54)) consentiva a chiunque -e, dunque, si direbbe, non solo all’erede- di esercitare i diritti, di cui all’art 7 (in pratica, il nucleo solido degli strumenti di protezione dei dati personali), per “un interesse proprio, o a tutela dell’interessato o per ragioni familiari meritevoli di protezione”. D’altro canto, la descendability successoria è messa in discussione dal dogma dell’intrasmissibilità dei diritti della personalità — tradizionalmente fondato sull’incomunicabilità tra i diritti della personalità («preposti alla protezione di una serie di interessi di natura esistenziale, variamente connessi al valore della dignità umana e non suscettibili di valutazione patrimoniale») e i diritti delle successioni per causa di morte (volti a realizzare «la trasmissione inter-generazionale della ricchezza e che soddisfano l’esigenza ‘negativa’ di non lasciare un patrimonio privo di titolare attuale» (55)); e sembrerebbe addirittura preclusa quando il dato, sebbene riferito al de cuius, sia di proprietà di un terzo (come nel caso di un social network che dispone
(53) Per una ricognizione ‘fondativa’, v. Resta, La “morte” digitale, in Dir. inf. e inform., 2014, 891. (49) Cfr. Trib. Milano 17 febbraio 2014, cit., p. 11 ss. (50) V., ad es., Di Ciommo - Pardolesi, Trattamento dei dati personali e archivi storici accessibili in Internet cit., 704 ss. (51) Sulla responsabilità dei provider v., riassuntivamente, Di Ciommo, Oltre la direttiva 2000/31/Cee, o forse no. La responsabilità dei provider di Internet nell’incerta giurisprudenza europea. (nota a Cass. 19 marzo 2019, nn. 7708 e 7709 del 19 marzo 2019, in Foro it., 2019, I, 2072): la cd. immunità condizionata di cui gode il provider opera “solo se il prestatore di servizi di Internet, rispetto al contenuto illecito dell’utente, abbia svolto una «attività [...] di ordine meramente tecnico, automatico e passivo», nel cui ambito lo stesso «non conosce, né controlla le informazioni trasmesse o memorizzate». Le sentenze citate sono pubblicate altresì in questa Rivista, 2019, 261, con note di Rovati e Panetta, Il ruolo attivo degli intermediari di internet e la conseguente responsabilità civile. Ulteriori approfondimenti in Cassano, Lo statuto della responsabilità civile degli Isp. Niente di nuovo sotto il sole, ma quanta fatica, in Vita notarile, 2019, 557. (52) Sulla necessità di un ordine, proveniente dall’autorità preposta, di rimozione del contenuto si veda Bugiolacchi, I presupposti dell’obbligo di rimozione dei contenuti da parte dell’hosting provider tra interpretazione e giurisprudenziale e trattato normativo, in Resp. civ., 2017, 536.
(54) Il campo è ora tenuto dall’art. 2 terdecies cod. privacy (inserito dal d. leg. 10 agosto 2018 n. 101, recante le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679), che disciplina, in maniera alquanto articolata, l’esercizio dei diritti in relazione ai dati riguardanti le persone decedute, che i diritti dell’interessato, di cui agli artt. da 15 a 22 GDPR, possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione, a meno che, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo abbia espressamente vietato con dichiarazione scritta da cui risulti in modo specifico, libero, informato e non equivoco la volontà di vietare l’esercizio dei diritti in questione (o soltanto di alcuni di essi.). Amplius, sul punto, Bellomia, Il diritto all’oblio el società dell’informazione, Padov, 2020, 135 ss. (55) Così Resta, Dignità, persona, mercati, Torino, 2014, 123 ss., il quale rileva (p. 138) come tale dogma sia stato sconfessato da quella parte della dottrina che riconosce la configurabilità di una vera e propria vicenda successoria concernente quantomeno i profili patrimoniali delle situazioni soggettive coinvolte (v., ex multis, Zeno-Zencovich, Profili negoziali degli attributi della personalità, in Dir. inf. e inform., 1993, 579), sino a ridursi, pur non essendo mai apertamente rigettato, a «semplice orpello verbale».
DIRITTO DI INTERNET N. 3/2020
463
GIURISPRUDENZA CIVILE dell’account del deceduto) (56): anche se, sul versante dell’abusivo sfruttamento dell’immagine o del nome, la prima difficoltà è stata ampiamente e disinvoltamente erosa dalla prassi (57). Le soluzioni adottate per regolare il fenomeno, proprio perché il coinvolgimento di diritti fondamentali implica una forte dipendenza dal tessuto culturale di ciascun ordinamento, esibiscono connotati assai diversi. Gli Stati Uniti, ad esempio, sono orientati ad un approccio più spiccatamente personalistico, in ragione del quale la riservatezza del defunto non ha più alcun rilievo giuridico e rimane spazio per la sola difesa del nome del defunto contro diffamazioni o appropriazioni indebite, che comportino una qualche ricaduta economica (il che concede ai soli eredi l’opportunità di sfruttare la fama dei cari estinti) (58). Per contro, il modello adottato dal continente europeo - segnatamente da Germania e Italia – prevede, invece, la trasmissione anche delle azioni a tutela del nome e dell’immagine (v, infatti, con riguardo al nostro sistema, art. 10 c.c.; artt. 24, 93 e 97 l. d.a.; art. 8, 1° comma, d. lgs. 30/2005). Tuttavia, l’identità personale, che non costituisce un semplice segno distintivo dell’individuo, ma cattura l’intima percezione di sé, prevede specifici presupposti di diritto, quelli appunto elencati dal su citato art 9. Orbene, la norma evoca tre categorie di interessi, che giustificano una tutela della privacy post mortem, ossia l’interesse proprio, quello del defunto, o ragioni familiari. Il primo (quello su cui, se pure con qualche nuance metafisica, il ricorrente intendeva basare la sua iniziativa giudiziale) implica difesa da un pregiudizio o salvaguardia di un vantaggio direttamente riconducibili alla sfera giuridica del ricorrente (è, per intendersi, la situazione di chi, legittimario, voglia esperire un’azione di riduzione della quota di altro erede e abbisogni dell’accesso a documenti del de cuius), mettendo capo a una sorta di “accesso documentale” di matrice privata: e si può ragionevolmente convenire che non ricorresse
(56) Cfr. Camardi, L’eredità digitale. Tra reale e virtuale, in Dir. inf. e inform., 2018, 65, che lega l’emergere di questa fattispecie alla dispersione nella rete di diverse proiezioni digitali della propria identità personale e analizza le ragioni che rendono poco probabile una completa applicazione dell’omologo istituto civilistico, tradizionalmente inteso. (57) Cfr., esemplificativmente, Trib. Milano 21 gennaio 2015, in Foro it., 2015, I, 1819, nonché la casistica scrutinata nella nota di richiami di [P.] Pardolesi, che, incurante delle sgrammaticature sistematiche, adombra l’acquisto, da parte dei prossimi congiunti, della titolarità di un diritto nuovo che, trovando la sua ratio nel valore della pietas familiare e nell’interesse al rispetto della memoria del defunto, sarebbe da considerarsi autonomo (per presupposti ed estensione) rispetto a quello spettante al de cuius. (58) Più diffusi ragguagli comparativi in Resta, La successione nei rapporti digitali e la tutela post-mortale dei dati personali, in Contratto e impr., 2019, 85.
464
DIRITTO DI INTERNET N. 3/2020
nel caso di specie. Qualora, invece, l’attore voglia agire a tutela di un interesse altrui, si determina una vera e propria sostituzione processuale, che permette a un terzo di far valere un diritto altrui per inerzia o incapacità del legittimo titolare: quanto dire che legittimato è l’erede che agisce per il defunto o il mandatario della famiglia. A conti fatti, la lettera apparentemente permissiva della disposizione si traduce, all’atto pratico, in un approccio assai più sorvegliato.
GIURISPRUDENZA CIVILE
La malafede impedisce la convalida e rende illecito l’uso del marchio registrato anche come nome a dominio Corte di C assazione ; sezione I civile; ordinanza 21 febbraio 2020, n. 4721; Pres. Umberto Luigi Cesare Giuseppe; Rel. Rosario Caiazzo; Solaroli Graziella (Avv. Santosuosso, Bruccoleri) c. Arnoldo Mondadori S.p.A. (Avv. Cerasi, Dragotti). La registrazione di un nome a dominio che riproduce o che contiene il marchio altrui dotato di rinomanza è da ritenersi in mala fede ai sensi dell’art. 28 C.P.I. ed integra contraffazione del marchio poiché permette di ricollegare l’attività a quella del segno distintivo, sfruttandone la sua notorietà e traendone un indebito vantaggio. Solo il titolare del marchio registrato può, infatti, legittimamente farne uso sul proprio sito o come nome a dominio, al fine di sfruttare la sua spiccata funzione pubblicitaria e attrattiva del consumatore.
…Omissis…
Rilevato che Il Tribunale di Milano – Sezione specializzata per la materia industriale e intellettuale – con sentenza emessa il 31.5.12, accolse in parte le domande d’inibitoria, risarcimento e di pubblicazione della sentenza di condanna, proposte dalla Arnoldo Mondadori Editore s.p.a. nei confronti di Graziella Solaroli, per aver quest’ultima registrato ed utilizzato, sin dal marzo 1999, il segno distintivo grazia.net, inserito nel sito internet, in violazione dei diritti di esclusiva relativi al marchio e alla testata giornalistica “Grazia” di sua spettanza. In particolare, il Tribunale ritenne operante la convalidazione, ex art.28 CPI, del marchio registrato riferibile al dominio grazia. net limitatamente alle condotte poste in essere dalla convenuta Graziella Solaroli sino al 26.3.2009, allorché tale marchio non fu rinnovato dalla titolare, sicché dopo la relativa scadenza, non avendo più l’Arnoldo Mondadori Editore s.p.a., titolare del marchio Grazia, tollerato la violazione dei propri diritti, ne fu dichiarata la decadenza. La Solaroli propose appello; si costituì la Arnoldo Mondadori Editore s.p.a. che propose appello incidentale chiedendo di accertare che il marchio grazia.net non si fosse mai convalidato a causa dell’elemento soggettivo della mala fede dell’appellante principale la quale aveva registrato tale marchio nella consapevolezza di violare il diritto anteriore della società appellata. Con sentenza del 10.12.2015, la Corte d’appello di Milano rigettò l’appello principale e, in parziale accoglimento dell’appello incidentale, riformò la sentenza di primo grado: accertando e dichiarando che il marchio grazía.net di proprietà di Graziella Solaroli non si era mai convalidato e, per l’effetto, dichiarando l’illegittimità di detto marchio e del relativo uso del nome a do-
minio e della testata; ordinando alla Solaroli il trasferimento a favore dell’appellata del nome a domino grazia. net entro 30 gg. dalla comunicazione della sentenza, con condanna dell’appellante al pagamento della penale di euro 100,00 per ogni giorno di ritardo. Al riguardo, la Corte territoriale argomentò che: correttamente era stata ritenuta infondata la domanda relativa alla convalidazione del nome di dominio e della testata grazia.net in quanto, sebbene siano segni distinti dal marchio e non oggetto di registrazione, non potrebbero tuttavia essere convalidati quali segni atipici correlati al marchio Grazia; l’uso di tale segno per contraddistinguere il sito Internet di pertinenza del marchio di Graziella Solaroli www.grazia.net risultava certamente interferente con il marchio “Grazia”, poiché generava confusione in virtù del principio di unitarietà dei segni distintivi espresso dall’art. 22 CPI, determinando un rischio di associazione del sito al marchio , considerando che l’obiettivo di riferimento dei due marchi era il medesimo (pubblicazioni destinate al pubblico femminile). La Corte d’appello ha invece accolto parzialmente l’appello incidentale dell’Arnoldo Mondadori Editore s.p.a. osservando che la Solaroli aveva registrato e utilizzato in mala fede il segno grazia.net, con l’illecito intento di agganciare il pubblico del marchio famoso Grazia, come risulta avvalorato dal fatto che l’appellante aveva utilizzato il suddetto segno anche quale “marchio mega-tag” per rendere il suo sito personale più facilmente raggiungibile dai motori di ricerca, essendo emerso che su tale sito personale veniva pubblicizzata l’attività giornalistica della medesima appellante e la possibilità di acquistare il suo ultimo libro; ai fini della valutazione della mala fede della Solaroli era irrilevante che la società appellata avesse tollerato la presenza di detto marchio sino al 2008, concedendo anche un’intervista alla appellante sulla rivista
DIRITTO DI INTERNET N. 3/2020
465
GIURISPRUDENZA CIVILE Marie Claire, essendo invece rilevante il momento della registrazione del marchio, non dovendosi tenere conto dell’eventuale comportamento successivo di tolleranza che vale come ulteriore elemento per valutare l’applicabilità o meno della convalidazione (una volta accertata la mancanza di registrazione in mala fede). Ricorre in cassazione Graziella Solaroli con un unico motivo illustrato con memoria. Resiste l’Arnoldo Mondadori Editore s.p.a con controricorso illustrato con memoria. Ritenuto che Con l’unico motivo di ricorso Graziella Solaroli denunzia la violazione e falsa applicazione dell’art. 28 CPI, censurando l’accoglimento parziale dell’appello incidentale dell’Arnoldo Mondadori Editore s.p.a. in quanto: la Corte d’appello, nel ritenere che la registrazione del marchio grazia.net fosse avvenuta in mala fede, aveva valorizzato la notorietà del marchio Grazia che, invece, non assumeva rilevanza in ordine alla convalidazione del marchio posteriore, da considerare estesa anche all’ipotesi di marchio munito di rinomanza nell’ambito dell’UE ed a marchio notoriamente conosciuto a norma dell’art. 6bis della Convenzione di Unione di Parigi; la ricorrente aveva registrato il marchio in quanto da sempre è stata conosciuta come tale, ossia Grazia Visconti, mentre il nome Grazia non aveva quale finalità l’agganciamento alla rivista Grazia edito dalla società controricorrente, ma quella di contraddistinguere in modo diretto l’attività della stessa ricorrente; in ogni caso, la ricorrente aveva introdotto alcune modifiche idonee a distinguere il proprio marchio da quello dell’Arnoldo Mondadori Editore s.p.a., aggiungendo il suffisso “net” (quest’ultimo rientrante nell’ambito dei sintagmi che, all’epoca dei fatti, agli albori della diffusione di internet, poteva avere rilevanza distintiva nel contraddistinguere un marchio dall’altro); non era stata dimostrata la notorietà del marchio Grazia alla data della registrazione del marchio della ricorrente (1999). Preliminarmente, va disattesa l’eccezione d’inammissibilità del ricorso per carenza d’interesse, in quanto non può sostenersi che la sentenza impugnata sia sorretta da tre distinte rationes, emergendo piuttosto che i tre profili indicati dalla società controricorrente siano tra loro logicamente connessi, da costituire espressione della medesima argomentazione che sorregge la motivazione adottata dalla Corte d’appello (infatti, secondo quest’ultima, la convalidazione – non applicabile per analogia ai segni atipici pur connessi al marchio registrato – non è legittima per la mala fede della ricorrente all’atto della registrazione del marchio successivo, la cui finalità era quella di agganciare il pubblico che utilizzava il primo marchio). Il motivo è in parte inammissibile e in parte infondato. La ricorrente si duole che la Corte d’appello abbia escluso la convalidazione del proprio marchio, ritenendolo registrato in mala fede, criticando la valutazione
466
DIRITTO DI INTERNET N. 3/2020
complessiva degli elementi di fatto posti a sostegno della pronuncia impugnata e contestando che sia stata provata la notorietà del marchio Grazia registrato dalla società controricorrente anteriormente a quello per cui è causa, grazia.net. Ora, va anzitutto rilevato che la doglianza è inammissibile nella parte in cui è diretta al riesame dei fatti, ovvero a provocare una diversa interpretazione dei fatti oggetto della sentenza impugnata riguardo all’insussistenza dei presupposti della convalidazione del marchio della ricorrente. Invero, la Corte territoriale ha ritenuto inapplicabile l’art. 28 CPI attraverso una motivazione esaustiva, fondata su una serie di fatti, peraltro non contestati, non censurabile in questa sede. La ricorrente ha comunque esposto che la invocata convalidazione del marchio grazia.net non sarebbe esclusa dalla notorietà o rinomanza del marchio anteriore Grazia, di cui è titolare la Arnoldo Mondadori Editore s.p.a., poiché il marchio da convalidare non aveva mai avuto la finalità determinante di agganciare la rivista Grazia ma solo quella di contraddistinguere in modo diretto l’attività della Solaroli, come comprovato anche dall’uso del suffisso net. Tale critica non coglie nel segno. Invero, va osservato che la registrazione di un domain name che riproduca o contenga il marchio altrui costituisce una contraffazione del marchio poiché permette di ricollegare l’attività a quella del titolare del marchio, sfruttando la notorietà del segno e traendone, quindi, un indebito vantaggio. Ne consegue che solo il titolare di un marchio registrato potrebbe legittimamente usarlo sul proprio sito o come nome di dominio. Al riguardo, seppure con riferimento al periodo anteriore all’entrata in vigore del codice della proprietà industriale, consta un unico precedente di legittimità, (cfr. Cass., n. 24620/10) sui segni atipici, secondo cui: “nel periodo anteriore all’entrata in vigore del codice della proprietà industriale (d.lgs. 10 febbraio 2005, n. 30), anche ai nomi di dominio ( di sito internet) deve applicarsi, sebbene si tratti di segni distintivi atipici, il r.d. 21 giugno 1942, n. 929, essendo essi strumenti attraverso cui accedere, nell’ambito di internet, ad un vasto mercato commerciale di dimensioni globali che consentono di identificare il titolare del sito web ed i prodotti e servizi offerti al pubblico, onde tali nomi rivestono una vera e propria capacità distintiva, in quanto, secondo la attuale concezione sulla natura e sulla funzione del marchio, non si limitino ad indicare la provenienza del prodotto o del servizio, ma svolgano una funzione pubblicitaria e suggestiva che ha la finalità di attrarre il consumatore, inducendolo all’acquisto”. Nel caso di specie è indiscusso, in quanto giudizialmente accertato dalla stessa Corte territoriale, che il marchio registrato in questione è “forte”, per cui lo stesso risulta
GIURISPRUDENZA CIVILE assistito dalla più rigorosa tutela, connotata da una maggiore incisività che rende illegittime le variazioni anche originali che, comunque, lasciano intatto il nucleo ideologico che riassume l’attitudine individualizzante del segno (Cass.n.5091/2000; n.1413/1995; n.5924/1996), giacché anche lievi modificazioni, che il marchio debole deve invece tollerare, condurrebbero al risultato di pregiudicare il risultato conseguibile con l’uso del marchio (cfr. Cass., n. 26000/18). Ora, è indubbio che l’uso del marchio grazia.net abbia comportato un oggettivo agganciamento, atteso il medesimo nucleo ideologico semantico, al marchio rinomato ed altamente distintivo Grazia, presente come testata editoriale nel territorio nazionale fin dagli anni ‘40 del secolo scorso; né merita censura il rilievo del giudice del
merito in ordine alla sussistenza della mala fede, quale elemento impeditivo della convalidazione, all’atto della registrazione del marchio fatto valere dalla ricorrente, avvenuta vari decenni dopo la creazione del marchio agganciato, in conformità dell’art. 28 CPI. Ne consegue altresì, al riguardo, l’irrilevanza del riferimento della ricorrente al fatto che il link collegato al segno grazia.net, che rinviava ad altro sito che pubblicizzava un libro della Solaroli, fosse stato introdotto solo nel 2008, atteso che la Corte territoriale ha ravvisato la mala fede al momento della registrazione del marchio successivo. Per quanto esposto, il ricorso va dunque rigettato. Le spese seguono la soccombenza. …Omissis…
IL COMMENTO di Monica Riva
Sommario: 1. La vicenda e i giudizi di merito – 2. L’ordinanza in commento – 3. L’ambito di applicazione dell’istituto della convalidazione – 4. La nozione di malafede nell’art. 28 C.P.I. – 5. L’uso del marchio altrui come meta-tag come indice di malafede – 6. L’utilizzo del marchio altrui come nome a dominio. La Corte di Cassazione ritiene corretta la decisione della Corte d’Appello di Milano che aveva ritenuto in malafede la registrazione come marchio del segno “grazia.net” da parte della giornalista e scrittrice, signora Graziella Solaroli (nota al pubblico come Grazia Visconti), impedendo al medesimo di convalidarsi ex art. 28 C.P.I. E ciò, nonostante la quinquennale tolleranza della casa editrice Mondadori, titolare dell’omonima e ben nota testata. Esclusa la convalidazione del marchio registrato, l’uso del nome a dominio “.grazia.net” è stato ritenuto contraffattorio, in virtù dell’indebito agganciamento al marchio di rinomanza e a prescindere dal fatto che la titolare lo utilizzasse per una rivista digitale essenzialmente diretta a pubblicizzare i suoi libri. Pur corretta nelle conclusioni, almeno in qualche passaggio, la decisione avrebbe però forse richiesto un maggiore approfondimento. The Italian Court of Cassation sustains the outcome of a decision of the Court of Appeal of Milan which had considered in bad faith the registration as a trademark of the sign “grazia.net” by the journalist and writer, Mrs. Graziella Solaroli (known to the public as Grazia Visconti), preventing it from being validated under Article 28 of the Italian Code of Industrial Property. This was decided despite the five-year tolerance of the Mondadori publishing company, owner of the eponymous and well-known review “Grazia”. Excluding the validation of the registered trademark, the use of the domain name “.grazia.net” was considered counterfeiting, because of the undue link to the well-renown trademark and regardless of the fact that the owner used it for a digital review aimed at essentially advertising her own publications and books. Although correct in its conclusions, at least in some points, the decision would perhaps have required further examination and in-depth grounds.
1. La vicenda e i giudizi di merito
Nel 1999, la signora Graziella Solaroli, nota al pubblico con lo pseudonimo di Grazia Visconti, attiva nel settore giornalistico e, più in generale, conosciuta come scrittrice, aveva registrato come marchio figurativo il segno “grazia.net” per utilizzarlo essenzialmente come nome a dominio al fine di identificare il sito web “www.grazia. net”, con cui veniva diffusa una rivista digitale che aveva come target il pubblico femminile e in cui venivano, inter alia, per lo meno in un periodo successivo alla registrazione, tramite un meccanismo di link ipertestuali, pubblicizzati i libri della scrittrice.
Si riproduce, qui di lato, lo specimen del marchio registrato dalla signora Solaroli (il “Marchio Registrato”) disponibile sul sito https:// www.uibm.gov.it/bancadati Allegando la contraffazione del noto marchio ‘Grazia’, registrato da Mondadori sin dagli anni ’60 e da questa utilizzato come testata di una celebre rivista femminile da ben molto tempo prima a
DIRITTO DI INTERNET N. 3/2020
467
GIURISPRUDENZA CIVILE tal punto da assurgere al rango di marchio di rinomanza in base alla normativa vigente, la casa editrice aveva citato in giudizio la signora per ottenere le pronunce di inibitoria del segno e la riassegnazione del nome a dominio. La convenuta aveva invocato la convalidazione del Marchio Registrato ex art. 28 C.P.I. sulla base della tolleranza di Mondadori, protrattasi per oltre cinque anni. Il Tribunale di Milano, da quanto emerge dalla sentenza in commento, sembra in primo luogo aver ritenuto che la convalidazione sia una norma speciale propria della sola disciplina dei marchi registrati e non anche dei segni diversi dal marchio registrato che, secondo il Tribunale, sono segni “atipici” e non possono convalidarsi, neppure in astratto. Posto che il Marchio Registrato non era stato rinnovato dalla signora Solaroli nel 2009 (anno della sua naturale scadenza), il giudice di primo grado aveva ritenuto leciti, in virtù dell’intervenuta convalidazione del marchio, solo gli utilizzi fatti del medesimo anteriormente a tale data. La decisione era stata però parzialmente riformata in appello, in accoglimento dell’appello incidentale svolto da Mondadori. Il giudice di secondo grado aveva infatti ritenuto che il Marchio Registrato fosse stato domandato in mala fede dalla scrittrice e che, di conseguenza, non potesse comunque applicarsi ad esso la convalidazione ex art. 28 C.P.I., anche per l’uso del medesimo anteriore alla sua naturale scadenza. Secondo il giudice delle seconde cure, infatti, la giornalista e scrittrice aveva registrato il proprio segno con l’unico e conclamato intento di agganciare il pubblico della nota rivista femminile ‘Grazia’, come peraltro dimostrava il fatto che questo fosse stato da lei utilizzato anche come mega-tag , ovvero metadati da implementare all’interno nel codice HTML, al fine di rendere il suo sito più facilmente visibile dai motori di ricerca e ottenere quindi un posizionamento più alto nei risultati spontaneamente generati dai medesimi. La tolleranza di Mondadori sino al 2008 era, dunque, proprio in conseguenza della malafede, un elemento, a quel punto, irrilevante, secondo i giudici d’appello.
2. L’ordinanza in commento
Contro tale decisione proponeva ricorso in Cassazione la signora Solaroli, sostenendo, con un unico mezzo, che il giudice d’appello avesse erroneamente applicato l’art. 28 C.P.I. Secondo la ricorrente, in particolare, nell’accertare l’esistenza della mala fede in capo alla scrittrice, la Corte d’Appello di Milano aveva indebitamente e sbrigativamente considerato la sola rinomanza del segno anteriore, ritendo così che la Solaroli avesse consapevolmente
468
DIRITTO DI INTERNET N. 3/2020
registrato il proprio marchio utilizzando la denominazione ‘grazia.net’ al solo fine di agganciarsi alla notorietà della testata di Mondadori. Tuttavia, la ricorrente sosteneva che il giudice di secondo grado avesse omesso di considerare che il marchio era stato registrato, come tale, al solo fine di contraddistinguere in modo diretto la sua attività di scrittrice, nota al pubblico come Grazia Visconti, la quale, per differenziarsi aveva inoltre aggiunto nel nome a dominio il suffisso “.net”, quest’ultimo rientrante nell’ambito dei sintagmi che, all’epoca dei fatti, nella prospettazione della ricorrente, “agli albori della diffusione di internet, poteva avere rilevanza distintiva nel contraddistinguere un marchio dall’altro”. Dichiarata l’inammissibilità del ricorso nella parte in cui puntava a ottenere il sindacato di circostanze di fatto e al riesame nel merito, il ricorso è stato ritenuto infondato nella parte in cui la ricorrente lamentava che il giudice di secondo grado non avesse tenuto conto dell’assenza nella signora Solaroli di un intento di agganciamento al marchio di Mondadori. La Corte di Cassazione ha, in particolare, ritenuto “indubbio” che la volontà della ricorrente fosse proprio quella di sfruttare la notorietà della testata di Mondadori “Grazia”, comportando un “oggettivo agganciamento, atteso il medesimo nucleo ideologico semantico, al marchio rinomato ed altamente distintivo Grazia, presente come testata editoriale nel territorio nazionale fin dagli anni ‘40 del secolo scorso”. Sulla base di questa considerazione, validando le motivazioni della Corte d’Appello circa la sussistenza di mala fede della ricorrente al momento della registrazione del marchio “grazia.net” qui in rassegna, la Corte di Cassazione ha quindi confermato l’inapplicabilità al caso di specie dell’art. 28 C.P.I. A questo proposito, poi, passando ad esaminare la fattispecie della contraffazione, la Corte ha affermato che: “la registrazione di un domain name che riproduca o contenga il marchio altrui costituisce una contraffazione del marchio poiché permette di ricollegare l’attività a quella del titolare del marchio, sfruttando la notorietà del segno e traendone, quindi, un indebito vantaggio. Ne consegue che solo il titolare di un marchio registrato potrebbe legittimamente usarlo sul proprio sito o come nome di dominio”. Riprendendo un proprio precedente del 2010, reso in applicazione della legge marchi — il r.d. 21 giugno 1942, n. 929 e sue successive modifiche — applicabile ratione temporis, la Corte ha affermato che i nomi a dominio, per quanto segni atipici, “essendo essi strumenti attraverso cui accedere, nell’ambito di internet, ad un vasto mercato commerciale di dimensioni globali che consentono di identificare il titolare del sito web ed i prodotti e servizi offerti al pubblico … rivestono una vera e propria capacità distintiva, in quanto,
GIURISPRUDENZA CIVILE secondo la attuale concezione sulla natura e sulla funzione del marchio, non si limitino ad indicare la provenienza del prodotto o del servizio, ma svolgano una funzione pubblicitaria e suggestiva”.
3. L’ambito di applicazione dell’istituto della convalidazione
Il punto di diritto chiave della decisione è l’esclusione dell’istituto della convalidazione (1) di cui all’art. 28 C.P.I., a causa della accertata mala fede nella registrazione del marchio da parte della scrittrice Grazia Solaroli, poi da lei utilizzato (essenzialmente) come nome a dominio. I giudici di legittimità non entrano nel merito dell’applicabilità dell’istituto a segni diversi dal marchio registrato, anche se sembrano implicitamente confermare la visione restrittiva assunta dai giudici di primo grado, che avevano escluso l’applicazione analogica dell’istituto ai segni atipici come il nome a dominio (2). In realtà, nel sistema derivante dalla riforma del 1992, l’istituto della convalidazione viene a configurarsi come una sorta di “preclusione per tolleranza (3)”, e cessa invece di essere imperniato sulla pubblicità legale e quindi sulla registrazione, come avveniva sotto la legge del 1942. Ciò vale a maggior ragione se il marchio posteriore è usato come nome a dominio, dato che la visibilità, per lo meno in presenza di una pubblicità del sito internet, dovrebbe essere persino maggiore rispetto a quella in astratto ottenibile con i registri dei marchi di impresa. D’altra parte, va tenuto altresì in considerazione che, a fianco della convalidazione, vi è l’istituto o meglio il (1) La tolleranza rispetto all’uso di un marchio registrato altrui prolungata per cinque anni implica la preclusione in capo ai terzi sia dell’azione di nullità sia dell’azione di contraffazione. In dottrina, cfr. Pennisi, Tutela del marchio e azioni ritardate: dalla preclusione per tolleranza alla preclusione per coesistenza, in Riv. dir. ind., 2015, I, 18 ss.; in senso conforme, si vedano Vanzetti - Di Cataldo, Manuale di diritto industriale, Milano, 2018, 200 ss., che, individuano, tra gli scopi della norma, l’eliminazione di uno stato di incertezza. In giurisprudenza si vedano, per tutti, Cass. Sez. Un. 1° luglio 2008, n. 17927, in banca dati Sprint - Sistema Proprietà intellettuale, all’indirizzo <https://www.sistemaproprietaintellettuale.it>. Recentemente, nella giurisprudenza di legittimità, si veda anche, per una interessante pronuncia in materia, Cass. 13 luglio 2018, n. 18736, in banca dati Sprint - Sistema Proprietà intellettuale. (2) Afferma l’inapplicabilità dell’istituto ai segni diversi dal marchio registrato: Cass. 3 agosto 1987, n. 6678, in banca dati Sprint - Sistema Proprietà intellettuale; per una rassegna della giurisprudenza di merito sul punto si veda Maggi, in Codice Ipertestuale commentato della proprietà industriale e intellettuale a cura di Galli e Gambino, Torino, 2011, 421; per le ragioni che depongono a favore dell’applicazione analogica cfr. già nel vigore della vecchia norma, Galli, Il Diritto transitorio dei marchi, Milano, 1994, 124. In senso analogo si vedano Ascarelli, Teoria della concorrenza e dei beni immateriali, Milano, 1960, 406, in relazione al conflitto tra ditte; Bonasi Benucci, Tutela della forma nel diritto industriale, Milano, 1963, 72 ss. (3) Cfr. Maggi, commento art. 28, cit., 419.
principio generale, affermato dalla giurisprudenza, della cosiddetta “preclusione per coesistenza” (4), a mente della quale l’azione di contraffazione, anche per i marchi di fatto, ed a prescindere dalla convalidazione, può essere esclusa in base alla pacifica convivenza dei segni sul mercato protratta per lungo periodo di tempo. In questa chiave di lettura, la “preclusione per coesistenza” costituisce, quindi, un principio di sistema idoneo ad assorbire la stessa convalidazione, che in quest’ottica finisce per assumere una portata residuale, in quanto la prima opererebbe anche a prescindere dalla sussistenza di tutti i presupposti richiesti per la seconda (5). L’elemento determinante è l’assenza di confondibilità sul mercato, di cui la prolungata coesistenza costituirebbe la riprova.
4. La nozione di malafede nell’art. 28 C.P.I.
Il fatto di aver riscontrato la malafede all’atto della registrazione (e cioè nel 1999), esattamente come aveva fatto la Corte d’Appello di Milano, ha, come si è visto, consentito di evitare lo spartiacque tra gli usi leciti e quelli contraffattori riscontrati in capo alla signora Grazia Solaroli, posto che l’uso riconducibile al marchio registrato — unico segno di cui poteva ravvisarsi la convalidazione in virtù della tolleranza di Mondadori — diventava irrilevante una volta accertata la sua mala fede della richiedente. Del resto, sembrava in sé piuttosto discutibile e anomalo il ravvisare in uno stesso comportamento un fatto lecito e un fatto illecito, unicamente a seguito del venir meno della “protezione” conferita dalla registrazione (e ciò sembra a maggior ragione avvalorare la posizione di chi estende l’istituto ai segni diversi dal marchio registrato, per cui cfr. le considerazioni appena svolte al § 3). Presupposti per l’operatività dell’istituto della convalidazione sono, come è noto: (i) la tolleranza in capo al titolare del segno anteriore dell’uso del marchio (registrato secondo l’interpretazione restrittiva) posteriore; e (ii) l’assenza di uno stato soggettivo del richiedente di mala fede. È un principio ampiamente affermato in dottrina e in giurisprudenza che la mala fede di cui all’art. 28 C.P.I. sia una fattispecie diversa da quella prevista dall’art. 22
(4) Cfr. Trib. Milano 17 febbraio 2016, caso Ring/Urban Ring, in Quotidiano Giuridico, all’indirizzo <https://www.quotidianogiuridico.it> con nota di Fratti. (5) Cfr. Trib. I grado U.E. 28 giugno 2012, causa T- 133/09, ECLI:EU:T:2012:327; cfr., inoltre, Pennisi, Tutela del marchio e azioni ritardate, cit.
DIRITTO DI INTERNET N. 3/2020
469
GIURISPRUDENZA CIVILE C.P.I. come ipotesi autonoma di nullità del marchio (6) e che in questo contesto malafede significhi e faccia riferimento, nella sostanza, all’ignoranza di ledere l’altrui diritto. Tuttavia, è sempre più frequente, anche nella giurisprudenza di legittimità, l’affermazione per cui, per accertare la malafede non basta la mera conoscenza del marchio anteriore, anche se noto, e anche in caso di segni identici o molto simili, bensì occorre qualcosa di più. È proprio la Cassazione ad aver recentemente chiarito che per accertare “la mala fede del titolare del marchio posteriore non risult[i] decisiva la semplice conoscenza, sia pure non sulla base della mera pubblicità legale, dell’esistenza del marchio anteriore altrui, occorrendo tener conto, anche nell’ipotesi in cui i segni in conflitto siano identici o uguali, delle specifiche circostanze di fatto in cui è, stata operata la registrazione del marchio posteriore” (7), aggiungendo, in particolare che: “la mala fede deve essere intesa come intenzione del secondo registrante di approfittare dell’accreditamento presso il pubblico conseguito dal marchio anteriore”. In questo senso, la decisione in commento, seppure paia nel complesso corretta, considerando che le difese della ricorrente sembravano anche piuttosto fragili, si limita a far riferimento alle motivazioni in fatto dei giudici di merito che non sono stati meritevoli di censura, giungendo a dire che questo agganciamento alla notorietà del marchio anteriore sarebbe stato addirittura “indiscutibile” sulla base appunto sia della rinomanza della testata di Mondadori, sia del fatto che il nucleo ideologico dei due marchi (il nome femminile “Grazia”) sarebbe stato pedissequamente ripreso. Il primo elemento di critica è che la notorietà della rivista Grazia avrebbe dovuto essere valutata all’epoca della registrazione del marchio della Solaroli e non all’epoca delle decisioni assunte negli anni a venire, dai giudici. È altrettanto vero che non vi è in atti la conferma che questo elemento fosse stato contestato ed è comunque possibile che il giudice abbia voluto fare riferimento, anche implicito, al fatto notorio. In secondo luogo, non si può non rimarcare come la decisione della Corte si appiattisca sulla tradizionale divisione tra marchi forti e marchi deboli, che, invece,
(6) L’art. 28 C.P.I. richiede che il titolare non sia in malafede al momento della registrazione (mentre la norma anteriore alla riforma del 1992 richiedeva che la buona fede si protraesse per tutta la durata del quinquennio). La nozione di malafede non è espressamente descritta dalla lettera della legge, pacifico essendo peraltro che «la nozione di malafede nel deposito sembra qui atteggiarsi in modo diverso che nel caso dell’art. 22, 2° co. (oggi art. 19, 2° co., c.p.i.: n.d.r.) che costituisce un’autonoma causa di nullità, nei confronti della quale la convalidazione non opera»: Cfr. Vanzetti Galli, La nuova legge marchi, Milano, 2001, 248. (7) Cfr. Cass. 13 luglio 2018, n 18736, cit. Cfr. inoltre sulla prova della malafede Chierichetti, La convalidazione del marchio: prova della malafede e criteri per la quantificazione del danno, in Resp. civ., 2017, I, 176 ss.
470
DIRITTO DI INTERNET N. 3/2020
sembra poco calzante rispetto al caso in esame (8), in cui il marchio “Grazia” godeva semmai di sicura rinomanza, a prescindere dal suo gradiente di capacità distintiva “intrinseca”. Nessun rilievo è stato poi attribuito al fatto che il sito internet fosse utilizzato per pubblicizzare i libri della scrittrice dato che la Cassazione ha notato che ciò sarebbe avvenuto solo nel 2008, mentre la malafede era stata accertata dalla Corte d’Appello come risalente all’atto della registrazione, e cioè quasi dieci anni prima, nel 1999. Un elemento che pareva invece deporre a favore dell’accertamento della malafede era che la ricorrente aveva registrato come marchio proprio l’intero nome a dominio (con tanto di suffisso .net!) ed essenzialmente proprio per usarlo come nome a dominio, e non come marchio. L’intento della malafede poteva cioè ravvisarsi proprio nell’aver la ricorrente tentato di accaparrarsi un segno (il marchio registrato) suscettibile in astratto di convalidarsi, a differenza del nome a dominio (che, almeno secondo l’opinione prevalente, non si convalida) cercando quindi di fare affidamento su questa circostanza (tentativo, in effetti, almeno parzialmente andato a buon fine in base alle risultanze della decisione di primo grado).
5. L’uso del marchio altrui come meta-tag come indice di malafede
La Corte d’Appello, come emerge dalla parte che riassume gli esiti dei giudizi di merito, pareva aver ritenuto un indice di malafede anche il mero fatto che il marchio altrui fosse stato usato come meta-tag, e cioè come parola nascosta all’interno del sito della ricorrente (9), per favorire il posizionamento e la rintracciabilità di esso da parte dei motori di ricerca. Nel caso di specie questa conclusione pare tutto sommato giustificata date le peculiari circostanze, ma di nuovo andava probabilmente meglio motivata, tenendo conto
(8) Cfr. Cass. 7 maggio 1983, n. 3109; per la nozione di marchi deboli, e la critica di essa, v. sub art. 13, in Galli - Gambino (a cura di), Codice Ipertestuale, cit. Il ricorso alla categoria dei marchi ‘‘deboli’’ contrapposta alla categoria dei marchi ‘‘forti’’ si riconduce ad un filone giurisprudenziale piuttosto nutrito che ha però talvolta raggiunto enunciazioni particolarmente astratte, oppure a riferimenti non del tutto pertinenti, come nel caso di specie. (9) Cfr. per precedenti di uso del marchio come meta-tag Trib. Monza 16 luglio 2002, in Dir. ind., 2003, 55 ss.; Trib. Napoli 20 dicembre 2002, in Giur. ann. dir. ind., 2003, 668 ss; Trib. Ancona 24 febbraio 2003, in Responsabilità comunicazione impresa, 2004, 199 con nota di Cassano, I meta-tag: profili tecnico-giuridici e quesiti in ordine all’utilizzo lecito; sull’uso del marchio come keyword di un motore di ricerca si vedano, nella giurisprudenza dell’Unione Europea, CGCE 18 giugno 2009, in causa C-487/07, caso L’Oréal, ECLI:EU:C:2009:378 e CGCE 23 marzo 2010, in cause riunite da C-236/08 a C-238/08, caso Google France, ECLI:EU:C:2010:159.
GIURISPRUDENZA CIVILE dell’indirizzo giurisprudenziale della Corte di Giustizia europea che ha più volte ribadito che non basterebbe la mera adozione di un marchio altrui come meta-tag e keyword, bensì è necessario che l’uso del segno possa compromettere almeno una delle funzioni del marchio, e cioè: la i) funzione di origine, ovvero le funzioni ii) di investimento e iii) pubblicitaria. Perché possa ritenersi illecito l’uso del marchio altrui come parola chiave o meta-tag è dunque necessaria, per lo meno in base al citato indirizzo giurisprudenziale, la violazione di una delle funzioni giuridicamente tutelate del marchio, e non il fatto della mera adozione in sé. Ciò potrebbe accadere, secondo la giurisprudenza, quando l’uso concreto del marchio altrui non consenta o consenta soltanto difficilmente all’utente della rete (normalmente informato e attento) di comprendere se i prodotti o i servizi cui l’annuncio si riferisce provengano dal titolare del marchio, da un’impresa ad esso collegata o da un terzo (10). Questo punto, invero, non sembra essere stato minimamente indagato dalla Corte d’Appello, ma la Cassazione non sembra averci dato troppa importanza, ritenendo quasi che l’attentato alla funzione del marchio, nelle circostanze, appariva sostanzialmente in re ipsa. È altrettanto vero che la nostra più attenta dottrina, commentando proprio questa giurisprudenza europea, ha messo in luce che ciò che in realtà andrebbe indagato è sempre “il valore del marchio come simbolo di un messaggio (o, se si preferisce, la funzione di comunicazione del marchio, che riassume in sé tutte le altre) che fa scattare la tutela ogni volta che nell’uso non autorizzato di un segno eguale o simile ad esso vi sia un richiamo a tale valenza simbolica non giustificato da altre esigenze prevalenti” (11). Uno spazio di liceità per l’uso di AdWords o meta-tag costituiti dal marchio altrui si potrebbe quindi ravvisare solo quando l’inserzionista intenda offrire “un’alternativa rispetto ai prodotti o ai servizi del titolare del marchio che gode di notorietà» e lo faccia «senza offrire una semplice
(10) Cfr. CGCE 22 settembre 2011, in causa C-323/09, caso Interflora, ECLI:EU:C:2011:604. In questo caso, la Corte di Giustizia dell’Unione Europa ha ritenuto che l’uso della parola “Interflora” da parte di un concorrente nel servizio AdWords di Google non costituiva contraffazione, perché tale uso non arrecava pregiudizio alle funzioni del marchio; cfr. anche CGCE 8 luglio 2010, in causa C-558/08, caso Portakabin, ECLI:EU:C:2010:416. Nella giurisprudenza di merito si veda di recente Trib. Milano 8 novembre 2019, all’indirizzo <https://www.diritto24.ilsole24ore.com> che ha invece ritenuto la contraffazione ad opera dell’uso del marchio altrui come AdWords anche in base alla somiglianza tra i due siti “che accentua l’impressione di una perfetta sovrapposizione” e costituiva attentato alla funzione di origine. (11) Cfr. Galli, Contraffazione web e luxury goods: le sfide del commercio elettronico al sistema della moda, Relazione tenuta al Convegno “Fashion & the Ip Law”, Università di Parma, 19 ottobre 2012 - 22 Novembre 2012, in Dir. ind., 2013, IV, 342 ss. Sul tema in generale Cassano, Orientamento dei motori di ricerca, concorrenza sleale e meta-tag, in Riv. dir. ind., 2009, 56.
imitazione dei prodotti e dei servizi del titolare di tale marchio, senza provocare una diluizione o una corrosione e senza nemmeno arrecare pregiudizio alle funzioni di detto marchio” (punto 91 della sentenza Interflora), così riconducendo la sfera di liceità essenzialmente alle ipotesi in cui sussista un “giusto motivo” per l’uso del marchio altrui, secondo la previsione dell’art. 5.2 della Direttiva, richiamata espressamente anche nel punto 89 della decisione medesima. La necessità dell’uso del marchio altrui serve cioè per consentire una concorrenza effettiva e solo in quel caso potrebbe ritenersi lecita (12). Questa necessità, nel caso di specie, sembrerebbe francamente non ravvisarsi, non essendoci in realtà nessun motivo oggettivo per utilizzare la testata di una famosa rivista come nome a dominio. Anche in questo caso, dunque, le conclusioni della Corte sembrano corrette, ma una maggiore motivazione avrebbe probabilmente giovato a fare più chiarezza sulla fattispecie in rapporto ai princìpi ad essa applicati.
6. L’utilizzo del marchio altrui come nome a dominio
Ampiamente consolidate sono le affermazioni della Corte circa il fatto che il domain name sia un segno distintivo vero e proprio (13), come oggi espressamente previsto dal codice (14), e che, ove esso coincida con un marchio registrato, esso possa essere utilizzato solo dal suo titolare, in virtù del principio di unitarietà dei segni
(12) Cfr. Galli, Contraffazione web e luxury goods, cit. (13) Cfr. Cass. 3 dicembre 2010 n. 24620, in banca dati Sprint - Sistema Proprietà intellettuale; nella giurisprudenza di merito, cfr. Trib. Milano 16 maggio 2003, in banca dati DeJure, secondo cui i nomi a dominio sono indubbiamente segni distintivi d’impresa, in ragione della loro funzione di attrarre l’attenzione degli utenti e di mettersi in contatto con l’imprenditore attraverso la rete; Trib. Parma 26 febbraio 2001, in banca dati DeJure, ove si specifica che, proprio in ragione della funzione distintiva, il nome a dominio è un segno distintivo dell’impresa che può entrare in conflitto con gli altri segni distintivi, in base al principio di unitarietà, cfr. nota 11 infra; in argomento si vedano, anche, Trib. Roma, 27 febbraio 2002, in: Giur. ann. dir. ind., 2002, 4412, 715; Trib. Catanzaro 12 febbraio 2002, ivi, 2002, 4409, 640; Trib. Pistoia, 15 ottobre 2001, ivi, 2002, 4371, 347; Trib. Roma, 9 marzo 2000, in Riv. dir. ind., 2001, II, 132; Trib. Milano, 29 ottobre 1999, in: Giur. ann. dir. ind., 2000, 4104, 482. Precursore di questi princìpi in dottrina si veda, per tutti, Galli, I nomi a dominio nella giurisprudenza, Milano, 2001, 482. Si veda anche Arezzo, Nome a dominio e marchio che gode di rinomanza: il caso Armani, in Dir. ind., 2003, VI, 530 ss. (14) I nomi a dominio sono stati aggiunti all’elenco dei segni di cui alla lett. b) dell’art. 12 C.P.I. in occasione del varo del Codice.
DIRITTO DI INTERNET N. 3/2020
471
GIURISPRUDENZA CIVILE distintivi (15), e, in particolare, come accaduto nel caso di specie, per lo stesso servizio (16). È infatti un tipico esempio di pregiudizio alla capacità distintiva del marchio il caso della registrazione del domain name corrispondente ad un marchio noto da parte di un terzo, che impedisce la registrazione dello stesso domain name da parte del titolare del marchio. La giurisprudenza di merito ha fatto spesso riferimento, per chiarire la portata di questo illecito, all’”effetto paralizzante o impeditivo della registrazione da parte del legittimo titolare del marchio”, specie se avviene con l’adozione dell’altrui marchio con Top Level Domain .com. Nella pronuncia in commento, la Cassazione ha peraltro affermato l’assenza di ogni attitudine individualizzante riconosciuta ai Top Level Domains (17), giungendo ad affermare la natura contraffattoria del nome a dominio e senza eccessivamente investigare i contenuti del sito web e, anche in questo caso, giungendo, nel confermare la decisione di appello, a un giudizio forse un po’ troppo netto che avrebbe meritato qualche approfondimento in più.
(15) Cfr. art. 22 C.P.I. Tale principio è stato affermato con particolare chiarezza da Cass. 28 febbraio 2006, n. 4405, in banca dati Sprint - Sistema Proprietà Intellettuale, che ha affermato che “Il principio di unitarietà dei segni distintivi comporta che chi acquista il diritto su un segno utilizzato nella sua funzione tipica (nella specie: di insegna), acquista il diritto sul medesimo segno anche in relazione alle funzioni proprie degli altri segni, ferma restando l’estensione della tutela all’ambito territoriale raggiunto in riferimento all’uso fattone”. (16) Negli Stati Uniti la fattispecie è espressamente prevista dall’Anticybersquatting Consumer Protection Act, che sanziona il comportamento di chi registra, usa o negozia in malafede e allo scopo di trarne profitto un nome a dominio che sia eguale o simile ad un marchio famoso: su tale legge cfr. Pascuzzi, Ancora novità sul fronte dei nomi a dominio in Internet, in Foro It, 2000, I, 2334 ss. Cfr. anche Mayr, I domain names e i diritti sui segni distintivi: una coesistenza problematica, in AIDA, 1996, 223 ss., in particolar modo 237 s. e Cassano, Cybersquatting, in Dir. inf. e inform., 2001, 83-94. (17) Il Top Level Domain, o dominio di primo di livello, concerne in sostanza l’estensione e in alcuni casi indica il Paese in cui si trova l’authority di natura privata competente ad accordare la registrazione, in altri è un mero suffisso generico che indica il settore nel quale il titolare del sito opera.
472
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA CIVILE
La “bocciatura” del sistema di Data Mining “SAVIO” utilizzato dall’INPS Tribunale di Roma ; sezione XVII civile; sentenza 3 aprile 2020, n. 4692; Giudice Pratesi; Istituto Nazionale di Previdenza Sociale c. Garante per la protezione dei dati personali. È illecita l’attività di analisi, effettuata da un soggetto pubblico, di un’ampia varietà di dati, fra i quali la frequenza e durata della malattia degli interessati, diretta ad attribuire uno score di affidabilità ai singoli certificati medici dei lavoratori in modo da indirizzare le visite di controllo verso le certificazioni meno affidabili, in assenza delle necessarie autorizzazioni e della preventiva notificazione al Garante ai sensi dell’art. 37 d.lgs. n. 196/2003. Il dato stesso dell’assenza da lavoro è idoneo a rivelare lo stato di salute del lavoratore e pertanto soggetto alla disciplina prevista per i dati sensibili ex art. 20 e 22 d.lgs. n. 196/2003.
…Omissis… ragioni di fatto e di diritto della decisione L’istituto ricorrente ha impugnato l’ordinanza ingiunzione emessa nei suoi confronti dal Garante per la protezione dei dati personali, che gli ha comminato la sanzione amministrativa di € 40.000,00 per violazione delle disposizioni degli artt. 13, 20 e 37 del Codice della privacy nell’impiego del software c.d. “Data Mining/ Savio”. Si tratta di un sistema che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori al fine di indirizzare in modo mirato e più efficiente il sistema dei controlli medico legali. A fronte dell’avvio di una interlocuzione da parte del Garante, e delle contestazioni da questi elevate con atto del luglio 2018, l’INPS ha sospeso l’utilizzo del sistema; non è stato pertanto emesso alcun provvedimento prescrittivo o inibitorio, ma è stato dato corso al procedimento sanzionatorio, concluso con l’emissione dell’ordinanza impugnata in questo giudizio. Il Garante ha sanzionato le seguenti condotte (riferite al sistema normativo previgente all’entrata in vigore del d.lvo 101/18): - violazione delle disposizioni dell’art. 13 d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), sanzionata dall’art. 161 del Codice, per aver effettuato un trattamento dei dati sensibili, senza aver rilasciato idonea informativa, ai sensi dell’art. 22, comma 2 del Codice nella misura di euro 12.000,00; - violazione delle disposizioni di cui all’art. 20, sanzionata dall’art. 162, comma 2-bis del Codice, per aver effettuato un trattamento illecito di dati personali, anche idonei a rivelare lo stato di salute in mancanza dei necessari presupposti, nella misura di
euro 20.000,00, con applicazione dell’art. 164-bis, comma 3 del Codice; - violazione delle disposizioni di cui all’art. 37, sanzionata dall’art. 163 del Codice per aver effettuato attività di profilazione con i dati personali dei lavoratori, anche idonei a rivelare lo stato di salute, senza notificare preventivamente tale trattamento all’Autorità, quantificato in € 8.000 (ovvero nella misura minima). Nell’opporsi a tale sanzione, in estrema sintesi, l’INPS osserva quanto segue: 1) la violazione amministrativa non è stata contestata nel termine di cui all’art. 14 l. 689/81, in quanto mai contestata la violazione all’autore materiale del fatto ma unicamente all’ente civilmente responsabile in solido (attività che non escluderebbe la decadenza a parere dell’INPS); 2) la violazione di cui all’art. 37 del Codice risulta prescritta, giacché riferita ad adempimento che avrebbe dovuto essere effettuato prima dell’8 marzo 2011; 3) la procedura in contestazione non implica la raccolta di dati sensibili attinenti allo stato di salute degli interessati, ed in ogni caso l’attività svolta dall’Istituto costituisce attuazione di un obbligo di legge, per il soddisfacimento di un interesse pubblico, e deve ritenersi dunque ai sensi dell’art. 24 lettera a) del Codice non soggetta all’obbligo del preventivo consenso dell’interessato; 4) il sistema Data Mining non comporta alcuna attività di profilazione degli interessati e non viola dunque l’art. 37. 5) All’Istituto andava concessa la facoltà di accedere al pagamento in misura ridotta in quanto il procedimento non era stato ancora definito alla data di entrata in vigore del GDPR (come previsto dall’art. 18 d.lvo 101/18).
DIRITTO DI INTERNET N. 3/2020
473
GIURISPRUDENZA CIVILE Preliminarmente deve essere respinta l’eccezione di inammissibilità sollevata dalla parte resistente, per non avere l’INPS impugnato autonomamente la nota 13074/18 del Garante, che costituisce una fase prodromica del procedimento, destinata ad ulteriore interlocuzione con l’Istituto e priva di efficacia dispositiva. Con riguardo ai motivi di impugnazione sopra sintetizzati, in riferimento al punto 1) è sufficiente richiamare la pronuncia di recente resa dalle Sezioni Unite della Cassazione, secondo cui “In tema di sanzioni amministrative, la solidarietà prevista dall’art. 6 della l. n. 689 del 1981 non si limita ad assolvere una funzione di garanzia, ma persegue anche uno scopo pubblicistico di deterrenza generale nei confronti di quanti, persone fisiche o enti, abbiano interagito con il trasgressore rendendo possibile la violazione, sicché l’obbligazione del corresponsabile solidale è autonoma rispetto a quella dell’obbligato in via principale e, pertanto, non viene meno nell’ipotesi in cui quest’ultima, ai sensi dell’art. 14, ultimo comma, della detta l. n. 689 del 1981, si estingua per mancata tempestiva notificazione, con l’ulteriore conseguenza che l’obbligato solidale che abbia pagato la sanzione conserva l’azione di regresso per l’intero verso l’autore della violazione, il quale non può eccepire, all’interno di tale ultimo rapporto, che è invece di sola rilevanza privatistica, l’estinzione del suo obbligo verso l’Amministrazione.” (Sez. U., Sentenza n. 22082 del 22/09/2017). La pronuncia supera dunque le ragioni spese dalla parte ricorrente a sostegno della propria lettura dell’art. 14 della l. 689/81 (fondate sulla iniquità di una soluzione che potrebbe in astratto portare il coobbligato a perdere l’azione di regresso); per il resto si deve convenire con la difesa del Garante laddove sottolinea come ai sensi dell’art. 28 del Codice “Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. Riguardo al punto 2), relativo all’ eccezione di prescrizione dell’illecito di cui all’art. 37, occorre valutare se la condotta omissiva sanzionata (= l’omesso avviso al Garante dell’avvio di una attività di trattamento di dati rientranti in alcune delle categorie contemplate dalla norma) abbia carattere istantaneo (come affermato dall’ INPS) o permanente, come sostenuto dal Garante; ora, secondo la giurisprudenza, in tema di sanzioni amministrative, la permanenza dell’illecito omissivo è configurabile con riferimento a quelle condotte che l’autore avrebbe potuto porre in essere utilmente anche dopo la prima omissione (v. Cass. sez. 2, sent. n. 15025 del 31/05/2019), situazione che certamente si attaglia al caso presente, giacché anche dopo l’avvio del sistema di raccolta dati per cui è causa l’Istituto avrebbe potuto in ogni momento procedere ad informare il Garante del tipo di trattamento avviato,
474
DIRITTO DI INTERNET N. 3/2020
e del fatto che “intendesse procedervi” - secondo la dizione dell’art. 37 – anche per il futuro. Dunque la prescrizione non può dirsi decorsa. Con riferimento al punto 3), è del tutto evidente che l’attività di controllo demandata all’INPS riguardo alle assenze dal lavoro per malattia costituisca adempimento di un obbligo di legge, non soggetto a consenso ai sensi dell’art. 24 del codice; tuttavia in questo giudizio non si tratta di analizzare in sé l’attività di controllo medico legale, quanto di valutare sotto il profilo delle regole della privacy una specifica operazione di raccolta di dati, prodromica al controllo ed indubbiamente funzionale ad una sua maggiore efficienza, ma che certamente non risulta dovuta per legge o necessitata; è da escludere dunque che possa trovare applicazione l’art. 24 del Codice. D’altro canto non è sostenibile che attraverso una analisi della frequenza e durata delle malattie (tra i principali indicatori del software, come si legge nella nota INPS prodotta quale doc. 3 di parte ricorrente) non si pervenga ad una raccolta di informazioni relative allo stato di salute degli interessati, pur in assenza delle relative diagnosi. In merito al punto 4) dell’opposizione, secondo cui l’attività del sistema in contestazione non comporterebbe alcun tipo di profilazione, si deve ricordare che secondo le definizione comunemente accolta, ed oggi rinvenibile dal GDPR, per profilazione si intende qualsiasi forma di trattamento automatizzato dei dati personali, volta alla valutazione di alcuni aspetti personali relativi a persone fisiche (tra le quali a titolo esemplificativo, il rendimento professionale, la salute, l’affidabilità, qualifiche che come è intuitivo possono desumersi indirettamente dal tipo di raccolta, posto che uno degli indicatori è costituito dal numero di assenze per malattia e dalla loro durata, e che scopo del trattamento è indirizzare i controlli verso le certificazioni meno affidabili); non è poi sostenibile quanto affermato dal ricorrente, secondo cui la profilazione in esame avrebbe ad oggetto i singoli certificati di malattia e non i lavoratori cui si riferiscono; pertanto, correttamente il Garante ha ritenuto che in presenza di una profilazione avente ad oggetto dati sensibili, l’Istituto avrebbe dovuto – in mancanza di una normativa che autorizzava a monte il tipo di trattamento in questione – richiedere al garante una specifica autorizzazione come previsto dall’art. 20 ultimo comma del codice medesimo, o comunque sottoporre la procedura a verifica ai sensi dell’art. 17. Del resto l’art. 37 oggetto delle considerazioni di cui al punto 2) dispone al comma 1, lett. d) che: “Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: … d) dati trattati con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispen-
GIURISPRUDENZA CIVILE sabili per fornire i servizi medesimi agli utenti”, e nel caso presente si è di fronte ad una raccolta di dati idonei a definire un profilo dell’interessato, trattati con strumenti elettronici, attraverso una procedura funzionale ma non indispensabile alla realizzazione degli scopi dell’Ente che la ha adottata. Appare dunque ragionevole alla luce della normativa sulla protezione dei dati personali, la richiesta che venisse preventivamente avviata una concertazione con l’AG volta a meglio definire in contorni dell’operazione e predisporre adeguate garanzie. In ordine al punto 5) lamenta la parte ricorrente che non le sia stato dato accesso alla definizione agevolata di cui all’art. 18 del d.lgs. n. 101/18, secondo cui per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all’articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l’adozione dell’ordinanza-ingiunzione, è
ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale. Ebbene tale agevolazione ha ad oggetto i procedimenti sanzionatori pendenti alla data di applicazione del Regolamento UE 2016/679, ed appare chiaro che la stessa non possa trovare applicazione laddove la contestazione della violazione con indicazione delle norme violate e delle sanzioni previste, sia intervenuta successivamente alla data di applicazione del regolamento, ovvero alla data del 25 maggio 2018. E nella specie la contestazione della violazione reca la data del 16 luglio 2018, successiva dunque alla data di applicazione del GDPR, mentre prima di tale momento non è individuabile la pendenza di un vero e proprio procedimento sanzionatorio, ma unicamente l’avvio di una attività di interlocuzione con l’Autorità Garante, come già sopra chiarito. Il ricorso deve pertanto essere respinto e le spese seguono la soccombenza. p.q.m. Rigetta il ricorso e condanna la parte ricorrente a rifondere alla controparte costituita le spese di lite…Omissis…
IL COMMENTO
di Filippo Castagna Sommario: 1. Sinossi del caso di specie. – 2. SAVIO: un software utilizzato a fini di profilazione. – 3. Profilazione e base giuridica del trattamento. – 4. Profilazione e obblighi informativi. – 5. Conclusioni. Con la sentenza in commento, il Tribunale di Roma ha confermato la legittimità dell’ordinanza ingiunzione con cui il Garante per la protezione dei dati personali ha sanzionato l’Istituto Nazionale di Previdenza Sociale per aver utilizzato, in assenza dei legittimi presupposti, un sistema di data mining denominato SAVIO, il cui scopo era quello di attribuire uno score ai certificati medici, inviati dai dipendenti pubblici e privati, in modo da indirizzare le visite fiscali di controllo verso quelli ritenuti meno affidabili. L’attività del software SAVIO è stata ritenuta tale da configurare una profilazione dei dipendenti, assoggettata pertanto al rispetto dei principi e obblighi previsti dalla normativa in tema di protezione dei dati personali. Il presente contributo, dopo la ricostruzione del percorso normativo che ha portato alla definizione di profilazione così come prevista dalla normativa in materia, analizza i rischi e i benefici derivanti dal suo utilizzo nonché i relativi presupposti giuridici e gli obblighi gravanti sul titolare del trattamento. By means of the commented judgment, the Court of Rome sustained the legitimacy of the injunction order with which the Italian Data Protection Authority sanctioned the Italian National Social Welfare Institution for having used, without legitimate grounds, a data mining program called SAVIO, the purpose of which was to assign a score to any medical certificate, sent by public and private employees, in order to direct the medical controls towards those deemed less reliable. The activity of the SAVIO software was deemed to bring about employee profiling and, therefore, it had to be compliant with the data protection rules. The present essay, after having analyzed the regulatory path which led to the ultimate definition of the profiling, furthermore analyses the risks and benefits of its use as well as the related legal conditions and obligations imposed on the data controller.
1. Sinossi del caso di specie
Con la sentenza in esame, il Tribunale di Roma ha avuto modo di affrontare una questione di grande attualità quale l’utilizzo ai fini di profilazione di software di data mining o, per utilizzare un termine più consono all’evoluzione tecnologica, di machine learning, indicandone i presupposti e le condizioni di legittimità nonché gli
obblighi in capo al titolare del trattamento ai sensi della normativa in tema di data protection. Giova precisare che la sentenza, nonostante la sua sinteticità, presenta molteplici profili giuridici di sicura rilevanza, come quello in merito alla natura permanente o istantanea dell’illecito derivante dalla violazione dell’art. 37 della previgente formulazione del d.lgs. n. 196/2003: la vera quaestio iuris protagonista della vi-
DIRITTO DI INTERNET N. 3/2020
475
GIURISPRUDENZA CIVILE cenda in esame, sulla quale si concentrerà il presente commento, si rivela però essere l’attività di profilazione effettuata da parte dell’Istituto Nazionale di Previdenza Sociale tramite il software SAVIO. Il caso trova la sua origine nel febbraio 2018, allorquando il Garante per la protezione dei dati personali venne a conoscenza, tramite alcune notizie stampa, dell’elaborazione e dell’utilizzo da parte dell’Istituto Nazionale di Previdenza Sociale di un software di data mining denominato SAVIO, il cui scopo era quello di individuare preventivamente possibili assenze ingiustificate per malattia dei dipendenti pubblici e privati in modo da poter concentrare le visite mediche di controllo sui casi in cui era più ragionevole ipotizzare che il certificato medico del lavoratore riportasse una prognosi più lunga di quella necessaria. Il software era programmato per selezionare, nel mare magnum dei 12 milioni di certificati annui dei dipendenti, quelli per cui era più opportuno predisporre controlli (1). Dalla sua implementazione nel 2011/2012 il software SAVIO, a detta dell’INPS, avrebbe consentito di evitare indebite erogazioni per malattia stimate in oltre 20 milioni di euro all’anno, trattando i dati di personali relativi a oltre 12 milioni di lavoratori. Detto software avrebbe quindi dato un grande contributo nel contrasto del dilagante fenomeno dell’assenteismo sia dei dipendenti privati sia di quelli pubblici, in seguito alla creazione del Polo Unico della medicina fiscale. In seguito alla sua istruttoria il Garante ha reputato che il software SAVIO realizzasse una vera e propria attività di profilazione dei lavoratori, poiché attribuiva ai certificati di malattia un punteggio di maggiore o minore affidabilità “su base statistica del giudizio prognostico di assenza ingiustificata o di idoneità alla ripresa del lavoro” (2). Più nello specifico, SAVIO, nonostante non trattasse direttamente la diagnosi, ossia la patologia da cui è affetto il lavoratore, analizzava in maniera automatizzata altri dati come: “dimensione ed attività economica dell’azienda di appartenenza, durata della malattia, tipo di rapporto di lavoro, qualifica ed importo della retribuzione giornaliera, numero di certificati degli ultimi due anni, giorni della settimana di
(1) Senato della Repubblica Italiana, Audizione Presidente Inps, prof. Boeri, 6 settembre 2018, Visite mediche di controllo d’ufficio – metodologie di data mining – procedimento sanzionatorio del Garante per la protezione dei dati personali, all’indirizzo: <http://www.senato.it/application/xmanager/ projects/leg18/attachments/documento_evento_procedura_commissione/files/000/000/291/Memorie_INPS.pdf>. (2) Garante per la Protezione dei dati personali, Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico, all’indirizzo: <https:// www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/9043373 >.
476
DIRITTO DI INTERNET N. 3/2020
inizio e fine della malattia, numero di precedenti visite concluse con idoneità etc. (3)” In sintesi, il Garante arrivò alla conclusione che il software SAVIO effettuasse attività di profilazione e che l’oggetto di tale trattamento fossero i dati afferenti allo stato di salute dei lavoratori, quindi soggetti alla specifica disciplina dei dati sensibili, oggi appartenenti alle “categorie particolari” di dati così come disposto dal Regolamento europeo n. 679/2016 (GDPR). In seguito alle contestazioni sollevate dal Garante con l’emissione del relativo verbale del luglio 2018, l’INPS decise di sospendere volontariamente l’utilizzo del software SAVIO. Il procedimento si concluse con l’emissione dell’ordinanza ingiunzione oggetto della sentenza in commento, con la quale il Garante ha contestato all’Istituto tre condotte illecite derivanti dall’utilizzo del citato software: aver effettuato un trattamento dei dati sensibili in assenza di idonea informativa agli interessati; aver compiuto un trattamento di dati, anche sensibili, in mancanza dei necessari presupposti; aver effettuato attività di profilazione, utilizzando anche dati sensibili, senza notificare preventivamente tale trattamento all’Autorità Garante (4). A fronte delle suddette contestazioni, l’Istituto rispose con le medesime argomentazioni difensive eccepite anche nel ricorso avverso l’ordinanza ingiunzione. L’Istituto argomentò di aver reputato di poter procedere con il citato trattamento di dati tramite SAVIO senza dover provvedere alla preventiva notifica al Garante ai sensi dell’art. 37 d.lgs. 196/2003 e alla conseguente predisposizione di idonea informativa ai sensi dell’art. 22 medesimo Codice, principalmente sulla scorta dei seguenti motivi: il trattamento era possibile in quanto eseguito in attuazione di un obbligo di legge, pertanto non soggetto all’obbligo del preventivo consenso dell’interessato; il sistema SAVIO non comportava alcuna attività di profilazione; infine, l’analisi del software non implicava il trattamento di dati sensibili.
2. SAVIO: un software utilizzato a fini di profilazione
Nell’ultimo decennio, il ricorso a procedimenti decisionali automatizzati, compresa la profilazione, si è sempre più diffuso in diversi settori, sia privati che pubblici, permettendo di compiere operazioni di trattamento su
(3) Istituto Nazionale di Previdenza Sociale, dossier contenente la nota tecnica “Spegnimento di SAVIO: effetti sulle visite medico fiscali”, all’indirizzo: < https://www.inps.it/docallegatiNP/Mig/Dati_analisi_bilanci/ workInpsSAVIO_final.pdf>. (4) Cfr. Garante per la Protezione dei dati personali, Ordinanza ingiunzione nei confronti di Istituto Nazionale Previdenza Sociale (INPS) - 29 novembre 2018, all’indirizzo: <https://www.garanteprivacy.it/web/guest/ home/docweb/-/docweb-display/docweb/9078812>.
GIURISPRUDENZA CIVILE una enorme disponibilità di dati che in precedenza, a causa dell’assenza di tecnologie adatte, erano ritenuti inutili o troppo numerosi da processare per poter ricercare nuove correlazioni, pattern, schemi o significati (5). A ben vedere, la crescita esponenziale e inarrestabile della quantità di dati, raccolti tramite i sempre più diffusi dispositivi tecnologici, e l’aumento della capacità di calcolo degli elaboratori informatici, caratterizzata dall’implementazione di algoritmi sempre più complessi, fra cui sistemi di data mining o machine learning, hanno reso concreta la possibilità di analizzare e prevedere nuovi modelli di comportamento, abitudini, interessi delle persone, spesso a loro insaputa (6). Se da un lato il progresso tecnologico ha reso questi trattamenti maggiormente efficienti ed economici, con conseguenti benefici e risparmio di risorse da parte delle organizzazioni pubbliche e private, dall’altro ha generato nuovi rischi per i diritti e le libertà delle persone, a causa dell’opacità che spesso accompagna i sistemi di profilazione, che può portare a decisioni discriminatorie o inesatte nei confronti degli interessati, talvolta anche non modificabili. Si può anticipare che il Tribunale di Roma, nella sentenza in esame, ha correttamente ritenuto che il software SAVIO in utilizzo all’INPS comportasse lo svolgimento di un’attività di profilazione, richiamando la definizione comunemente accolta e oggi rinvenibile nel GDPR (7), avente ad oggetto dati afferenti allo stato di salute dei lavoratori. È opportuno precisare che la profilazione, anche se conosciuta sia per i suoi benefici che per i suoi rischi, non ha trovato una esplicita definizione prima dell’avvento del Regolamento EU n. 679/2016. La Direttiva europea n. 95/46, infatti, non si occupava espressamente del tema pur prevedendo un’apposita norma sulle decisioni automatizzate, che tuttavia non coincideva con l’attuale definizione di profilazione sancita dall’art. 4 del GDPR. Invero, l’art. 14 del d.lgs. 196/2003 aveva recepito l’art. 15 della direttiva 95/46, prevedendo uno specifico diritto in capo all’interessato
(5) Pellecchia, Black box society: profilazione e decisioni automatizzate, in Nuove leggi civ. comm., 2018, 5, 1211 ss. (6) Faini, Dati, algoritmi e Regolamento europeo 2016/679, in Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, a cura di Mantelero e Poletti, Pisa, 2018, 335 ss. (7) Secondo l’art. 4 par. 1 n. 4 GDPR con profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. Detta definizione è richiamata e illustrata anche dai Considerando 24, 30, 70 e 71.
di opporsi a trattamenti automatizzati volti a definirne il profilo o la personalità, salvo che questa attività fosse adottata in presenza delle condizioni di liceità espressamente previste dalla normativa ovvero da un provvedimento del Garante per la protezione dei dati personali, il quale avesse prescritto le opportune misure e accorgimenti per ridurre il rischio per i diritti e le libertà delle persone (8). In seguito al progressivo diffondersi dei sistemi di profilazione, il Garante (9) e il WP 29 (10) intervennero con numerosi provvedimenti in materia, contestualizzati agli specifici ambiti di applicazione dei suddetti sistemi, grazie ai quali si è andata progressivamente formando la definizione contenuta nel GDPR. L’attuale definizione di profilazione fornita dal GDPR e dal d.lgs. 18 maggio 2018 n. 51 (11) si può scomporre in tre elementi: il trattamento è svolto in modo automatizzato, quindi con l’ausilio di algoritmi; l’attività ha per oggetto dati personali, cioè informazioni relative a persone fisiche identificate o identificabili anche indirettamente; infine, il trattamento è finalizzato ad analizzare o prevedere aspetti personali dell’interessato eventualmente con l’obiettivo di anticipare le sue decisioni. Nel GDPR i trattamenti automatizzati di dati (12), ivi compresa la profilazione, che non siano utilizzati in via
(8) Pierucci, Elaborazione dei dati e profilazione delle persone, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, Milano, 2019, 420 ss. (9) Fra i molti provvedimenti del Garante per la protezione dei dati personali si possono ricordare quelli del 24 febbraio 2015, doc. web n. 1103045; 3 novembre 2005, doc. web. n. 1195215; 9 marzo 2006, doc. web, n. 1252220; 16 dicembre 2009, doc. web n. 1688999; 15 ottobre 2016, doc. web n. 4541143; 17 dicembre 2015, n. 4698620. (10) Fra cui le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 (WP251) del Gruppo di lavoro articolo 29 per la protezione dei dati, consultabili sul sito del Comitato europeo per la protezione dei dati personali, all’indirizzo <https://edpb.europa.eu/>. (11) La medesima definizione è infatti prevista anche nell’art. 1, par. 1, lett. e), del d.lgs. 18 maggio 2018, n. 51, emanato in attuazione della Direttiva europea del 27 aprile 2016, n. 680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. (12) A differenza della profilazione, la decisione automatizzata manca di una definizione normativa, tuttavia alla luce delle indicazioni fornite dal WP 29 n. 251 essa può essere scissa in tre elementi parzialmente diversi da quelli sopra individuati: 1) il trattamento è svolto in modo automatizzato, analogamente alla profilazione; 2) è effettuata su dati personali senza l’intervento umano; 3) gli effetti della decisione incidono sulla sfera giuridica o comunque sugli interessi dell’interessato. Il discrimine, in questo caso, è dato dalla sussistenza o meno di una supervisione umana sul processo decisorio. È opportuno precisare che le due definizioni sono solo parzialmente sovrapponibili, tanto che è possibile riscontrare tre distinte ipotesi: 1) “profilazione generale”, ossia profilazione senza che vi sia una decisione automatizzata; 2) “processo decisionale basato sulla profilazione”, nel quale è previsto un intervento umano nella decisione;
DIRITTO DI INTERNET N. 3/2020
477
GIURISPRUDENZA CIVILE esclusiva per l’adozione di decisioni che producano effetti giuridici sull’interessato ovvero possano incidere in modo analogo significativamente sulla persona, sono da considerarsi leciti purché effettuati in ossequio a una delle basi giuridiche previste dall’art. 6 GDPR ovvero dall’art. 9, nel caso in cui il trattamento abbia ad oggetto categorie particolari di dati (13). In caso contrario, allorquando la decisione sia basata su trattamenti decisionali esclusivamente automatizzati, inclusa la profilazione, e possa produrre effetti giuridici sull’interessato ovvero possa incidere in modo analogo significativamente sulla sua persona, questa rientrerà nel divieto generale espresso dall’art. 22 GDPR (14), a meno che non sussista una delle eccezioni previste dal secondo e quarto paragrafo del citato articolo (15). La ratio di tale divieto è da individuarsi nell’elevato rischio per i diritti e le libertà delle persone fisiche che accom3) “decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato”. Il WP 29 continua specificando che “le decisioni automatizzate possono essere prese ricorrendo o meno alla profilazione, la quale a sua volta può essere svolta senza che vengano prese decisioni automatizzate. Tuttavia, la profilazione e il processo decisionale automatizzato non sono necessariamente attività separate. Qualcosa che inizia come un semplice processo decisionale automatizzato potrebbe diventare un processo basato sulla profilazione, a seconda delle modalità di utilizzo dei dati”. (13) Alla profilazione si applicano comunque i principi che l’art. 5 GDPR sancisce in via generale: trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza. La profilazione deve essere quindi preceduta dal rilascio di idonea informativa all’interessato che lo informi sulla specifica finalità perseguita, sulla base giuridica del trattamento, sui diritti a lui spettanti e sulla facoltà di revocare il consenso, sulla logica utilizzata, e infine, sull’importanza delle conseguenze previste di tale trattamento. Cfr. Alvisi, Dati personali e diritti dei consumatori, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., 713 ss. (14) Secondo l’art. 22, par. 2, GDPR il divieto di cui al paragrafo 1 non si applica nel caso in cui la decisione: a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c) si basi sul consenso esplicito dell’interessato. L’art. 22, par. 4, GDPR prevede che le decisioni di cui al paragrafo 2 non si devono basare sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, GDPR a meno che non sia applicabile l’articolo 9, paragrafo 2, lettere a) o g), GDPR e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato. (15) L’articolo 22 GDPR riprende il divieto precedentemente contenuto nell’art. 15 par. 1 della Direttiva 95/46, circoscritto poi dal Codice Privacy nel divieto generale di adottare provvedimenti giudiziari amministrativi fondati unicamente su un trattamento automatizzato dei dati personali volti a definire il profilo o la personalità dell’interessato. Al secondo comma del citato art. 14 è poi riconosciuto all’interessato il diritto di opposizione contro ogni altro tipo di determinazione adottata sulla base di trattamenti automatizzati. Si poteva desumere quindi una generale ammissibilità dell’automazione decisionale fondata su trattamenti algoritmici di dati in mancanza di opposizione dell’interessato. Cfr. Alvisi, op. cit., 713 ss. Un divieto analogo a quello previsto dall’art. 22 GDPR è oggi sancito anche dall’art. 8 del d.lgs. 10 agosto 2018, n. 101.
478
DIRITTO DI INTERNET N. 3/2020
pagna questo genere di trattamenti, quali la possibilità di discriminazione e di manipolazioni (16). Tornando al caso di specie, il software SAVIO analizzava la frequenza e la durata dei singoli episodi di malattia del lavoratore, insieme ad altre variabili quali il numero delle precedenti idoneità alle visite mediche di controllo, la qualifica del lavoratore, il tipo di rapporto di lavoro, la retribuzione, il settore e la dimensione aziendale. Analizzando e correlando fra loro le suddette categorie di dati, il software inseriva il singolo lavoratore in una categoria predeterminata, assegnandogli un determinato profilo, costruito sulla base di alcune variabili o caratteristiche comportamentali che accomunano i soggetti ricompresi nella categoria di riferimento. L’inserimento, da parte di SAVIO, del singolo lavoratore all’interno di uno specifico profilo determinava un effetto sia descrittivo che predittivo, in quanto, sulla base di procedimenti statistici inferenziali, calcolava la tendenza alla attuazione di specifici comportamenti futuri ovvero il grado di propensione del singolo lavoratore all’assenza per malattia ingiustificata (17). Nel caso di specie, si può osservare che il Tribunale di Roma ha collocato l’interruzione del sistema SAVIO nel mese di luglio 2018, all’indomani dell’entrata in vigore del GDPR, a dispetto delle difese dell’INPS che la collocavano antecedentemente: forse anche per questo motivo è richiamata nella decisione la definizione di profilazione contenuta nel GDPR, ma le norme asserite violate si riferiscono al previgente Codice Privacy, oggi novellato dal d.lgs. n. 101/2018. In particolare, l’art. 37 del Codice Privacy, oggi abrogato, poneva in capo al titolare un obbligo di notifica al Garante, allorquando quest’ultimo avesse inteso procedere con trattamenti di dati ad elevato rischio per i diritti e le libertà degli interessati, quali appunto quelli effettuati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato ovvero quelli aventi ad oggetto dati sensibili, come appunto SAVIO. Appare dunque corretto affermare che l’attività di trattamento di SAVIO configurasse una vera e propria profilazione dei lavoratori, integrandone tutti gli elementi essenziali che si ha avuto modo di illustrare in precedenza, con la conseguenza che l’INPS, in ossequio al precedente assetto normativo del Codice Privacy, avrebbe dovuto effettuare la notificazione al Garante ai sensi dell’art. 37 del citato Codice. La notificazione al Garan-
(16) Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016; Id., Intelligenza artificiale, protezione dati personali e regolazione, Torino, 2018, 34 ss. (17) Garante per la Protezione dei dati personali, Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico, cit.
GIURISPRUDENZA CIVILE te era ancor più necessaria considerato che il software in esame trattava categorie particolari di dati, nello specifico dati afferenti allo stato di salute dei lavoratori, quale appunto l’assenza da lavoro per malattia. In merito a quest’ultimo punto, il Garante ha avuto modo di affermare a più riprese, con orientamento granitico (18) confermato anche dalla giurisprudenza della Corte di Cassazione (19), che il dato stesso dell’assenza dal lavoro per malattia, pur non facendo riferimento a specifiche patologie, è comunque suscettibile di rivelare lo stato di salute dell’interessato e, come tale, meritevole della tutela rafforzata che la normativa in tema di protezione dei dati personali accorda a tale categoria di dati. A maggior ragione se accanto a tali informazioni, come quelle analizzate dal software SAVIO, vi fossero i dati riferiti alla frequenza e alla durata dei singoli episodi di malattia del lavoratore e alla storia pregressa delle stesse, risultanti in particolare dai certificati medici prodotti negli ultimi due anni, nonché dagli esiti delle precedenti visite di controllo. Maggiori sono i dati analizzati dai software di profilazione maggiore è infatti la probabilità di far emergere informazioni rivelatrici degli aspetti più sensibili della persona, essendo la profilazione una tecnica in stretta connessione funzionale al concetto di identificazione o identificabilità della persona (20) e che ne aumenta la portata. Invero, una delle problematicità maggiori dei processi di profilazione consiste soprattutto nel fatto che, in seguito alla loro attività di analisi, questi algoritmi creano nuovi dati personali, non direttamente forniti dagli interessati, ma idonei a far desumere, direttamente o indirettamente, informazioni sensibili della persona quali appunto lo stato di salute o malattia oppure l’esistenza di patologie. Bisogna considerare che le attività di analisi dei software di profilazione spesso partono da dati non prettamente sensibili per arrivare alla categorizzazione che invece potrebbe avere natura più sensibile, scoprendo correlazioni fino ad ora sconosciute e talvolta discriminatorie (21).
(18) Cfr. ex multis i seguenti provvedimenti del Garante per la Protezione dei dati personali: 3 febbraio 2009, doc. web n. 1597590; 10 ottobre 2013 doc. web. n. 2753605; 7 maggio 2015, doc. web n. 4167648. (19) Cfr. Cass. Civ., sez. I, 8 agosto 2013, n. 18980. (20) “…l’identificazione può derivare indirettamente dal riferimento ad un dato identificativo…l’identificabilità, anche indiretta, del soggetto a partire dal dato diventa presupposto per l’accesso alla tutela prevista dalle disposizioni vigenti in materia di data protection…”. Cfr. Vizzoni, Badge, algoritmi e identificazione dei lavoratori: la cassazione e il trattamento dei dati biometrici, in Responsabilità civile e previdenza, 2019, 1227 ss. (nota a Cass. Civ. 15 ottobre 2018, n. 25686). (21) Bolognini - Pelino, Codice della disciplina della privacy, Milano, 2019.
Non bisogna dimenticare che i software di data mining come SAVIO vengono programmati per scoprire in maniera automatica relazioni statistiche in un set di dati, rivelando pattern su cui il successivo processo decisionale potrà fare affidamento nella sua attività di categorizzazione. L’algoritmo apprende, infatti, in base ai dati e alle relative correlazioni a lui sottoposti. Nel caso in cui analizzi dati distorti o correlazioni inesatte, anche parzialmente, allora l’algoritmo erediterà il pregiudizio preesistente individuando erroneamente i relativi pattern. A questo punto è difficile correggere questo giudizio poiché, spesso e volentieri, non è ben chiaro con quale procedimento logico il software sia giunto a quella conclusione a causa della congenita opacità che contraddistingue il processo di autoapprendimento e implementazione dell’algoritmo stesso (22). Per esempio, l’INPS ha effettivamente rilevato che SAVIO attribuiva uno score maggiore ai certificati medici provenienti dal sud Italia, con la conseguenza che, a fronte di due certificati simili inviati rispettivamente da un cittadino del nord Italia e uno del sud, il software avrebbe con maggiori probabilità disposto la visita fiscale a quest’ultimo. Per quanto l’attribuzione di detto score sia stata calcolata a fronte di dati statistici, la decisione del software, in assenza di una precisa individuazione della cornice applicativa del trattamento dei dati, potrebbe essere connotata da un ragionamento di fondo a primo avviso discriminatorio e, pertanto, non rispettoso dei principi sanciti nella normativa in tema di data protection e lesivo dei diritti dell’individuo. Di contro, è innegabile che l’implementazione di questi sistemi sia ricca di potenzialità e benefici. Per esempio, il loro utilizzo potrebbe portare alla creazione di nuovi dati inferiti che, letti sotto la prospettiva di un altro titolare, potrebbero essere utilizzati per perseguire altre finalità e obiettivi del tutto condivisibili e legittimi, purché rispettosi della normativa in materia. Per limitarci solo ad uno spunto di riflessione circa l’utilizzo di dette tecnologie, l’algoritmo, analizzando e correlando fra loro altri dati, quali, per esempio, l’identificativo del medico che ha redatto il certificato, il numero di certificati degli ultimi due anni e di precedenti visite concluse con idoneità (23), potrebbe arrivare a calcolare anche altri pattern, quali l’affidabilità e veridicità dei certificati rilasciati da quel particolare medico, così da poter utilizzare questo dato per contrastare eventuali altri comportamenti fraudolenti. (22) Pellecchia, Black box society: profilazione e decisioni automatizzate, cit. (23) Dati in effetti trattati da SAVIO, cfr. Garante per la Protezione dei dati personali, Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico, op. cit.
DIRITTO DI INTERNET N. 3/2020
479
GIURISPRUDENZA CIVILE Le potenzialità del software SAVIO sono giustamente state riconosciute da entrambi le parti in causa, ma a detti benefici si sono contrapposti alcuni rischi per gli interessati. L’unico baluardo a difesa dei rischi e delle forme di discriminazione che possono derivare dall’utilizzo di detti algoritmi è la normativa in tema di protezione dei dati personali, che impone, come si avrà modo di analizzare nei successivi paragrafi, il rispetto di determinati principi e obblighi in capo al titolare che voglia ricorrere a trattamenti di dati tramite tali software di profilazione.
3. Profilazione e base giuridica del trattamento
Nel caso di specie, il Garante ha sanzionato l’INPS per avere compiuto attività di profilazione tramite SAVIO in assenza delle necessarie condizioni di legittimità del trattamento. L’art. 20 del Codice Privacy, oggi abrogato dal d.lgs. 101/18, disciplinava le condizioni per il trattamento di dati sensibili da parte dei soggetti pubblici, prevedendo che esso era consentito solo se autorizzato da espressa norma di legge, limitatamente alle operazioni di trattamento e per tipologie di dati da quest’ultima previste. Il secondo comma dell’articolo in esame disciplinava i casi in cui era presente una legge che specificava le finalità di rilevante interesse pubblico ma non le tipologie di dati che potevano essere trattati e le operazioni eseguibili, vincolando quindi le operazioni di trattamento ad ulteriori condizioni (24). L’ente pubblico, infatti, ai sensi del citato articolo, poteva trattare i dati soltanto per lo svolgimento delle proprie funzioni istituzionali, cioè solo per compiere le operazioni strettamente necessarie al raggiungimento dei propri fini (25). L’utilizzo degli algoritmi di data mining, anche per obiettivi del tutto legittimi quali, per esempio, la prevenzione di comportamenti fraudolenti, è consentito dalla normativa sulla protezione dei dati personali in circostanze specifiche, purché risponda a criteri di correttezza, minimizzazione e trasparenza e osservi sufficienti garanzie, soprattutto quando il trattamento ha oggetto categorie particolari di dati, quali quelli sulla salute (26).
(24) In questo caso il trattamento era concesso solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che effettuavano il trattamento in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22 Codice Privacy, con un atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma uno, lettera g) medesimo Codice anche su schemi tipo. (25) Finocchiaro, Diritto dell’informatica, Milano, 2014. Sulla questione in generale Cassano, Diritto dell’Internet. Il sistema di tutele della persona, Milano, 2005, 1-405. (26) Garante per la Protezione dei dati personali, Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico, cit.
480
DIRITTO DI INTERNET N. 3/2020
Il software SAVIO è stato utilizzato sulla base di un assetto normativo (27) che prevedeva l’obbligo di disporre l’attività medico legale di controllo dei lavoratori assenti dal servizio per malattia e introduceva altresì la trasmissione telematica delle certificazioni di malattia sia per il settore pubblico che privato, ma nulla disponeva in merito alle tipologie di dati e alle operazioni eseguibili nell’ambito del trattamento automatizzato in argomento, quindi, secondo il Garante, in violazione di quanto statuito dagli art. 14 e 20 della vecchia formulazione del Codice Privacy. È necessario tenere presente che la profilazione consiste sempre in un’operazione di trattamento che persegue una sua specifica finalità, distinta dalle altre eventualmente perseguite dal titolare anche se spesso strettamente funzionale ad esse, che trova il suo fondamento in una delle basi giuridiche previste dalla normativa in tema di data protection. Come affermato dal Tribunale di Roma nella sentenza in esame, SAVIO non poteva trovare la sua legittimazione nell’adempimento di un obbligo di legge, consistendo in una diversa operazione di trattamento, non strettamente necessaria al conseguimento degli scopi istituzionali dell’INPS ed effettuata in assenza di una specifica normativa che ne disciplinasse il corretto funzionamento e le categorie di dati trattati. Come già accennato, non bisogna dimenticare che i sistemi di data mining, grazie alla loro attività di analisi, sono in grado di generare “nuovi dati” che, nel caso di SAVIO, non erano certamente contemplati dalla citata normativa alla base dell’attività di controllo medico legale dell’INPS. Questa “lacuna normativa” doveva essere colmata con la richiesta al Garante di una specifica autorizzazione ai sensi dell’art. 20 Codice Privacy, in aggiunta alla notificazione ai sensi dell’art. 37 e in ossequio agli art. 22 e 24 medesimo Codice (28). D’altronde, il ricorso a simili sistemi deve essere giustificato dall’impossibilità oggettiva di raggiungere la finalità prevista con altri mezzi o modalità, fermo restando che i dati trattati dovranno essere comunque adeguati, pertinenti e limitati a quanto necessario, in ossequio al principio di minimizzazione (29) e di necessità. Invero, (27) Si fa particolare riferimento ai decreti legislativi 4 novembre 2010, n. 183 e 25 maggio 2017, n. 75, che ha inserito il comma 2 bis all’articolo 55 septies del d.lgs. 30 marzo 2001, n. 165. (28) Così come correttamente operato dall’INPS in una precedente situazione: cfr. Garante per la protezione dei dati personali, 21 dicembre 2006 doc. web n. 1376078. (29) In merito a questa circostanza SAVIO trattava dati che difficilmente si conciliavano con il principio di minimizzazione quali i dati sulla retribuzione, sulla qualifica professionale, sul settore e sulla dimensione aziendale o l’identificativo del medico che ha redatto il certificato. Il principio di minimizzazione riveste un ruolo centrale per valutare la legittimità di un determinato trattamento, specie nel caso di correlazioni
GIURISPRUDENZA CIVILE se una determinata finalità può essere raggiunta grazie a un altro mezzo che porti alla realizzazione dei medesimi effetti e che allo stesso tempo determini ricadute minori sui diritti e le libertà degli interessati, allora questo sarà da preferire (30). Con l’entrata in vigore del GDPR, tutte le norme del Codice Privacy fino ad ora citate nel presente contributo sono state abrogate e il ricorso a sistemi di profilazione è stato facilitato, considerato anche il fatto che non è più necessaria la notificazione ex art. 37 Codice Privacy. Il nuovo Regolamento dichiara infatti di avere un duplice obiettivo: tutelare i dati delle persone fisiche e, contemporaneamente, assicurarne la libera circolazione, così da favorire lo sviluppo dell’economia digitale (31). Le operazioni di profilazione che non ricadano nel divieto generale sancito dall’art. 22 del GDPR sono ammesse dal Regolamento, purché il titolare possa dimostrare di aver rispettato tutti i principi e gli obblighi ivi sanciti, come i principi di accountability e di privacy by design e by default. Ricadono nell’alveo dell’art. 22 GDPR esclusivamente i trattamenti completamente automatizzati, compresa la profilazione, che abbiano un effetto giuridico o analogo sull’interessato. L’art. 22 GDPR vieta dunque l’adozione di decisioni prese senza il coinvolgimento di un essere umano che possa realmente influenzare ed eventualmente modificare il risultato mediante la sua autorità o competenza, in modo che riesca a prevenire o correggere errori, inesattezze o discriminazioni (32). L’espressione “effetti giuridici” rappresenta l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo ovvero possa in modo analogo potenzialmente e significativamente influenzarne i comportamenti, le scelte o interessi. I successivi paragrafi dell’art. 22 GDPR prevedono le eccezioni, fra loro cumulabili, al citato divieto, distinguendo a seconda dei casi in cui i dati trattati siano di natura comune – secondo paragrafo – o sensibile – quarto paragrafo. In questi casi il titolare deve mettere in atto tutte le misure tecniche e organizzative necessarie per la tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, garantendo che siano previste procedure per rettificare inesattezze nei dati così da minimizzare il rischio di errori e impedire il verificarsi di effetti discriminatori nei suoi confronti. L’aggiornamento costante dei dati
statistiche tra informazioni relative a sfere diverse della di vita privata degli interessati.
evita infatti che i profili vengano costruiti o attribuiti ai singoli sulla base di dati imprecisi. Software come SAVIO potrebbero rientrare potenzialmente nell’ipotesi prevista dall’ultimo paragrafo dell’art. 22 GDPR, considerata la sua attività di analisi, la natura sensibile dei dati trattati, e le relative decisioni basate su di essa. In questo caso, SAVIO dovrebbe rinvenire la sua legittimità in una delle basi giuridiche previste dall’ultimo paragrafo della norma citata, ovvero il consenso dell’interessato, difficilmente acquisibile nel caso di specie, o l’interesse pubblico rilevante, inquadrabile nell’attività di contrasto dei suddetti comportamenti fraudolenti. Giova precisare che anche nell’ipotesi in cui SAVIO non dovesse rientrare sotto l’alveo di applicazione dell’art. 22 GDPR, poiché privo delle caratteristiche di sistema completamente automatizzato ovvero capace di produrre effetti giuridici nei confronti dell’interessato o tale da incidere in maniera analoga sulla sua persona, il ricorso ad esso dovrebbe trovare comunque il suo fondamento nella base giuridica prevista dall’art. 9 par. 2 lett. g) GDPR. Pertanto, come rappresentato dal Presidente dell’Autorità Garante per la protezione dei dati personali durante la sua audizione presso il Senato della Repubblica, l’unica soluzione percorribile appare un intervento normativo che autorizzi l’INPS a utilizzare simili sistemi di profilazione. Non solo, la normativa dovrà necessariamente individuare in modo chiaro le finalità e gli interessi pubblici rilevanti che possano giustificare il ricorso a strumenti così invasivi, prevedendo allo stesso tempo tutte le misure tecniche e organizzative adeguate a tutela dei diritti dei lavoratori interessati, in conformità alla normativa in materia di data protection (33). Ciò sarebbe, infatti, in conformità sia con l’eventuale applicazione dell’art. 22 paragrafo 4 GDPR che con l’art. 2 sexies del novellato Codice Privacy, il quale disciplina che il trattamento di categorie particolari di dati personali ex art. 9 paragrafo 2 lettera g), possa avvenire esclusivamente sulla base di una disposizione di legge o di regolamento che assicuri le condizioni di proporzionalità del trattamento effettuato e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati, specificando chiaramente le tipologie di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Affinché possa essere considerato necessario per motivi di interesse pubblico rilevante, il trattamento dovrà essere effettuato da soggetti che svolgono compiti di inte-
(30) Pino, Proporzionalità, diritti e democrazia, in Dir. soc., 2014, 597 e Vizzoni, op. loc. cit. (31) Pizzetti, Intelligenza artificiale, protezione dati personali e regolazione, cit., 12 ss. (32) Riccio - Scorza - Belisario, Gdpr e normativa privacy, Milano, 2018.
(33) Garante per la Protezione dei dati personali, Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di utilizzo delle metodologie di data mining per eseguire visite mediche di controllo nei confronti dei lavoratori del settore pubblico, cit.
DIRITTO DI INTERNET N. 3/2020
481
GIURISPRUDENZA CIVILE resse pubblico o connessi all’esercizio di pubblici poteri. Il tutto senza dimenticare, anche per questi titolari, l’obbligo di effettuare una valutazione di impatto in modo da analizzare in concreto i rischi per i diritti e le libertà delle persone fisiche interessate derivanti dall’utilizzo di simili sistemi, in modo da poter predisporre, sin dalla fase di sviluppo e implementazione, le misure necessarie ad affrontarli in concreto.
4. Profilazione e obblighi informativi
Resta da analizzare l’ultimo profilo sanzionatorio irrogato nei confronti dell’INPS e che è diretta conseguenza delle precedenti contestazioni ovvero l’aver trattato dati di natura sensibile in assenza di idonea informativa all’interessato ai sensi dell’art. 22 comma 2 Codice Privacy. L’informativa ha sempre rivestito un ruolo chiave nell’ambito della disciplina in tema di protezione dei dati personali e risponde a uno dei principi più importanti ovvero quello di trasparenza. Gli interessati devono essere resi edotti a mezzo di idonea informativa delle finalità per le quali conferiscono i propri dati, affinché sia garantito un trattamento corretto e trasparente. In tal modo, infatti, si ingenera la fiducia negli interessati, accrescendo la loro consapevolezza circa l’utilizzo dei propri dati in modo da metterli nelle condizioni di scegliere, per esempio, se rilasciare o meno il consenso per determinate finalità ulteriori rispetto a quelle oggetto del trattamento iniziale oppure di contestarne le modalità di trattamento (34). Tutto ciò è necessario a fronte della congenita problematicità dei processi di profilazione, rappresentata dal fatto che risultano essere invisibili agli interessati, poiché effettuati a loro insaputa e spesso con logiche o criteri non del tutto chiari (35). L’interessato può infatti esercitare i propri diritti solo quando effettivamente posto a conoscenza dell’esistenza di un trattamento dei propri dati personali nonché delle relative finalità e modalità. Nel caso di specie, in assenza della relativa informativa, i lavoratori non erano a conoscenza dell’esistenza dell’attività di profilazione dei loro dati sensibili né potevano, di conseguenza, esercitare i diritti previsti dall’art. 7 Codice Privacy, fra cui quello di opposizione alle determinazioni adottate sulla base di algoritmi di profilazione. La trasparenza riveste infatti una particolare importanza nell’ambito della profilazione, a causa della scarsa conoscenza dell’interessato circa i processi tecnologici sottesi a simili trattamenti e della creazione di dati nuovi ed ul-
(34) Pizzetti, Intelligenza artificiale, protezione dati personali e regolazione, cit., 12 ss. (35) Riccio - Scorza - Belisario, Gdpr e normativa privacy, cit., 40 ss.
482
DIRITTO DI INTERNET N. 3/2020
teriori non forniti dall’interessato direttamente, spesso di natura sensibile. L’interessato, a cui sarà garantito un ampio patrimonio conoscitivo delle modalità, finalità e dei rischi dei trattamenti effettuati dal titolare, potrà compiere scelte consapevoli ed effettive rispetto al trattamento dei suoi dati personali, per esempio esercitando un’adeguata attività di controllo e intervento su di essi. Fra le informazioni di primaria importanza rientra l’indicazione dei soggetti a cui verranno comunicati i dati personali dell’interessato, fra cui le risultanze dell’algoritmo. A tal proposito, è sufficiente pensare agli utilizzi potenziali che l’Istituto avrebbe potuto fare dei pattern e dei dati inferiti scoperti dall’algoritmo SAVIO, per esempio comunicandoli ad altri soggetti pubblici o Autorità per il perseguimento di finalità ulteriori e ben diverse da quelle originarie. È importante altresì specificare per quanto tempo saranno conservati i dati. Il Regolamento, oltre a sancire espressamente il principio di trasparenza, prevede specifici e ulteriori obblighi informativi in capo al titolare nel caso di profilazione o processi decisionali automatizzati. Nell’informativa devono essere infatti esplicitate chiaramente le modalità e le finalità della profilazione (36). Nel caso in cui la profilazione rientri nelle ipotesi previste dall’art. 22 GDPR, l’interessato ha il diritto di conoscere la logica dell’algoritmo e dei criteri utilizzati, nonché delle conseguenze derivanti dall’attribuzione di un determinato profilo alla propria situazione individuale. In questo modo il titolare può dimostrare che gli elementi di correlazione che vengono utilizzati nell’algoritmo come regole decisionali sono significativi e privi di elementi discriminatori, in ossequio anche al principio di accountability, strettamente legato ai principi di correttezza e trasparenza (37).
(36) Altre informazioni che possono rendere più trasparente e corretta la profilazione potrebbero essere quello di informare l’interessato circa le modalità con cui è stato costruito il profilo, incluse le statistiche utilizzate e i criteri decisionali. Cfr. Pierucci, Elaborazione dei dati e profilazione delle persone, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., 428 ss. (37) Si è ben consci che non è questa la sede per sviluppare adeguatamente una riflessione sul campo di applicazione dell’art. 22 GDPR, che anima la dottrina da tempo con interpretazioni talvolta contrastanti. Gli studiosi si interrogano se la norma si riferisca esclusivamente ai procedimenti automatizzati eseguiti in assenza di intervento umano oppure anche a quelli dove vi sia un apporto umano ma questo sia da considerare ininfluente ai fini della decisione. Secondo Pellecchia, Black box society: profilazione e decisioni automatizzate, cit., 1125 ss., ricadono nell’alveo di applicazione dell’art. 22 anche quelle ipotesi in cui la fase istruttoria alla base della successiva decisione automatizzata sia svolta in maniera totalmente automatizzata, nulla importando se nella successiva fase vi sia un intervento umano significativo. Nel caso di SAVIO, nonostante la scarsità di indicazioni sul suo funzionamento, l’intervento umano rilevante pareva sussistere, visto che il medico inviato dall’INPS controllava la veridicità del certificato medico.
GIURISPRUDENZA CIVILE L’interesse a conoscere la logica di funzionamento dell’algoritmo è stato denominato dalla dottrina “diritto alla spiegazione (38) o alla leggibilità (39)” ed è stato oggetto, sin dall’approvazione del GDPR, di riflessioni e critiche da parte della dottrina. L’opinione dominante ritiene che sia sufficiente fornire informazioni significative sulla logica utilizzata (40), ma non necessariamente una spiegazione complessa degli algoritmi utilizzati o della loro completa divulgazione, fermo restando l’eventuale bilanciamento con la tutela della proprietà intellettuale e industriale in merito allo sviluppo dell’algoritmo (41). Tuttavia, può accadere che il diritto di accesso alla logica dell’algoritmo potrebbe risultare frustrato nel caso di sistemi di data mining come SAVIO. In questi sistemi la macchina auto apprende e modifica gli algoritmi di funzionamento in modi la cui descrizione può sfuggire perfino ai programmatori. Ferma restando l’oggettiva difficoltà di fornire una spiegazione comprensibile (che gli interpreti indicano di frequente quale “significativa”) per persone generalmente non esperte, quali appunto gli interessati, l’oscurità matematica che caratterizza i sistemi di machine learning rende spesso pressoché impossibile compiere un’analisi esaustiva delle conseguenze derivanti dall’utilizzo di tali sistemi ma anche una valutazione circa le categorie e le variabili elaborate e utilizzate in modo autonomo dal software per arrivare alla specifica decisione. Si deve segnalare che il massimo organo di giustizia amministrativa si è espresso di recente proprio nel senso di richiedere una trasparenza “rafforzata” e la piena conoscibilità della decisione amministrativa “algoritmica” (42). A prescindere dall’eventuale applicazione dell’art. 22 GDPR, una delle soluzioni avanzate dalla dottrina, nel rispetto dei principi del GDPR, è quella di sviluppare algoritmi che possano essere controllati in ogni loro sviluppo o decisione e che possano essere tradotti in forme comprensibili per gli interessati, anche se ciò potrebbe
(38) Wachter - Mittelstandt - Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, 2017, all’indirizzo: <https://papers.ssrn.com/sol3/papers. cfm?abstract_id=2903469>. (39) Malgieri - Comandè, Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, 2017, all’indirizzo https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3088976. (40) Malgieri - Comandè, op. cit. (l’opinione è confermata anche da WP251). (41) Riccio - Scorza - Belisario, Gdpr e normativa privacy, cit., 221 ss. (42) Consiglio di Stato, 8 aprile 2019, n. 2270, in questa Rivista, 2019, 377, con nota di Crisci, Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”.
comportare un rallentamento nello sviluppo tecnologico (43).
5. Conclusioni
La sentenza del Tribunale di Roma non deve essere interpretata, come paventato da alcuni quotidiani, come un’ulteriore conferma che la normativa in tema di data protection sia ostativa all’utilizzo di sistemi analoghi a SAVIO e che l’obiettivo del Garante sia quello di tutelare in ogni caso i cittadini dalle attività di profilazione di massa effettuate dallo Stato (44), anche se compiute per obiettivi del tutto leciti e condivisibili come nel caso di specie. È innegabile che l’utilizzo di SAVIO abbia portato a una grande razionalizzazione delle visite fiscali, combattendo efficientemente il fenomeno dilagante dell’assenteismo e consentendo di evitare indebite erogazioni per malattia stimate in importi particolarmente elevati, e che senza il ricorso a sistemi di data mining sia pressoché impossibile raggiungere gli obiettivi di risparmio prefissati dall’Istituto, ma è altrettanto vero che ciò deve avvenire necessariamente nel rispetto del diritto fondamentale dell’individuo alla protezione dei dati personali riconosciuto, dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea, il quale può ben subire un bilanciamento in presenza delle condizioni sancite dal GDPR. L’utilizzo di sistemi di data mining da parte dei soggetti pubblici, in assenza delle condizioni previste dalla normativa, rappresenta una delle attività di profilazione che potenzialmente presenta più rischi per i diritti e le libertà delle persone fisiche, considerato l’elevato numero di soggetti interessati al trattamento, il rischio congenito presente nei suddetti sistemi informatici e la grande quantità di dati a loro disposizione, con la conseguenza che aumenta la possibilità di categorizzazioni discriminatorie o comunque lesive dei diritti dell’individuo, soprattutto nei casi in non si abbia la contezza della logica e dei criteri alla base delle operazioni di trattamento. Tuttavia, bisogna ricordare che il GDPR persegue anche l’obiettivo della libera circolazione dei dati, creando un (43) Tabarrini, Comprendere la “Big Mind”: il GDPR sana il divario di intelligibilità uomo - macchina?, in Dir. inf. e inform., 2019, 555 ss. Anche per questo motivo, il GDPR è stato “accusato” di non essere idoneo a fronteggiare l’inarrestabile espansione delle nuove forme di tecnologia come i sistemi di intelligenza artificiale, poiché i principi e gli obblighi in esso contenuti rischiano di limitarne la crescita a fronte degli sviluppi imprevedibili che spesso le caratterizzano. (44) È pur vero che, come evidenziato da autorevole dottrina, la normativa in tema di data protection non si limita a tutelare solo gli individui, garantendo il rispetto del diritto fondamentale alla protezione dati personali, ma cerca di proteggere, anche se la frase può apparentemente sembrare di orwelliana memoria, le società democratiche dal rischio di controllo globale. Cfr. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo Regolamento europeo, cit.
DIRITTO DI INTERNET N. 3/2020
483
GIURISPRUDENZA CIVILE clima di fiducia che consenta di promuovere lo sviluppo dell’economia digitale (45) e, pertanto, anche l’utilizzo corretto dei sistemi quali SAVIO. La corretta individuazione, in ossequio ai principi di privacy by design e by default, delle operazioni di trattamento, delle tipologie di dati trattati e delle finalità perseguite, grazie anche, ove necessario, ad un intervento normativo all’uopo preordinato, unitamente allo sviluppo sistemi di machine learning che siano in grado di essere “compliance” al GDPR, è necessaria affinché vengano disposte tutte le misure di sicurezza necessarie per fronteggiare gli eventuali rischi per i diritti e le libertà degli interessati, che devono essere posti nelle condizioni di poter esercitare i loro diritti e controllare così l’operato del titolare. Solo in questo modo il trattamento dei dati personali potrà veramente essere al servizio dell’uomo, e non il contrario, e si potrà assistere alla diffusione progressiva e sicura dei sistemi di machine learning che potranno apportare il loro contributo alla società moderna con sicuri vantaggi ma nel pieno rispetto dei diritti individuali della persona.
(45) Poletti, Comprendere il Reg. UE 2016/679: un’introduzione, in Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna a cura di Mantelero e Poletti, Pisa, 2018, 10 ss.
484
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA PENALE
La tutela penale del patrimonio informativo aziendale tra appropriazione indebita di files e “presa di conoscenza” di informazioni Corte
di
Cassazione ; sezione II penale; sentenza 10 aprile 2020, n. 11959; Pres. Cammino, Rel. Di Paola.
I dati informatici, contenenti files, sono qualificabili “cose mobili” ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”.
RITENUTO IN FATTO 1. La Corte d’appello di Torino con sentenza in data 14 giugno 2018 ha parzialmente riformato la sentenza pronunciata dal Tribunale di Torino, in data 30 giugno 2017, nei confronti di C.A., assolvendo l’imputato dal delitto di cui all’art. 635 quater cod. pen. e affermandone la responsabilità in ordine al delitto di cui all’art. 646 cod. pen. (solo per una parte dei beni indicati nell’originaria imputazione), con conseguente condanna alla pena ritenuta di giustizia, con revoca delle precedenti statuizioni civili che venivano sostituite con la condanna al risarcimento del danno da liquidarsi in separata sede e con la concessione di una provvisionale, in riferimento alla riconosciuta responsabilità per il solo delitto di appropriazione indebita. 2. La vicenda oggetto del processo riguardava le condotte poste in essere dall’imputato, già dipendente della (OMISSIS); dopo essersi dimesso da quella società veniva assunto da una nuova compagine societaria, di recente costituzione, operante nello stesso settore; prima di presentare le dimissioni l’imputato aveva restituito il notebook aziendale, a lui affidato nel corso del rapporto di lavoro, con l’hard disk formattato, senza traccia dei dati informatici originariamente presenti, così provocando il malfunzionamento del sistema informatico aziendale e impossessandosi dei dati originariamente esistenti, che in parte venivano ritrovati nella disponibilità dell’imputato su computer da lui utilizzati. 3.1. Propone ricorso per cassazione la difesa dell’imputato deducendo, con il primo motivo di ricorso, violazione di legge, in riferimento all’art. 646 cod. pen., per aver ritenuto in modo erroneo che i dati informatici siano suscettibili di appropriazione indebita, non potendo essi essere qualificati come cose mobili. (…) CONSIDERATO IN DIRITTO 1.1. Il primo motivo del ricorso proposto nell’interesse dell’imputato è infondato. La questione che la Corte è
chiamata ad affrontare concerne la possibilità di qualificare i dati informatici, in particolare singoli files, come cose mobili, ai sensi delle disposizioni della legge penale e, specificamente, in relazione alla possibilità di costituire oggetto di condotte di appropriazione indebita. 1.2.1. Su questo tema la giurisprudenza di legittimità ha già avuto occasione di pronunciarsi, pur se non con specifico riguardo all’ipotesi del delitto di appropriazione indebita di dati informatici. 1.2.2. Con alcune pronunce è stato escluso che i files possano formare oggetto del reato di cui all’art. 624 cod. pen., osservando che, rispetto alla condotta tipica della sottrazione, la particolare natura dei documenti informatici rappresenta un ostacolo logico alla realizzazione dell’elemento oggettivo della fattispecie incriminatrice, ad esempio nel caso di semplice copiatura non autorizzata di “files” contenuti in un supporto informatico altrui, poiché in tale ipotesi non si realizza la perdita del possesso della res da parte del legittimo detentore (Sez. 4, n. 44840 del 26/10/2010, Petrosino, Rv. 249067; Sez. 4, n. 3449 del 13/11/2003, dep. 2004, Grimoldi, Rv. 229785). Analogamente, con riguardo al delitto di appropriazione indebita, si è più volte affermato che oggetto materiale della condotta di appropriazione non può essere un bene immateriale (Sez. 2, n. 33839 del 12/07/2011, Simone, Rv. 251179, relativa all’ipotesi dell’agente assicurativo che non versi alla società di assicurazioni, per conto della quale operi, la somma di denaro corrispondente ai premi assicurativi riscossi dai subagenti ma a lui non versati, trattandosi di crediti di cui si abbia disponibilità per conto d’altri), salvo che la condotta abbia ad oggetto i documenti che rappresentino i beni immateriali (Sez. 5, n. 47105 del 30/09/2014, Capuzzimati, Rv. 261917, che ha ravvisato il delitto nella stampa dei dati bancari di una società - in sé bene immateriale - in quanto trasfusi ed incorporati attraverso la stampa del contenuto del sito di home banking in documenti; Sez. 2, n. 20647 del 11/05/2010, Cornia-
DIRITTO DI INTERNET N. 3/2020
485
GIURISPRUDENZA PENALE ni, Rv. 247270, relativa all’appropriazione di disegni e progetti industriali coperti da segreto, riprodotti su documenti di cui l’imputato si era indebitamente appropriato; identico principio è stato affermato in relazione al delitto di ricettazione di supporti contenenti dati informatici: Sez. 2, n. 21596 del 18/02/2016, Tronchetti Provera, Rv. 267162), 1.2.3. Solo di recente è stata affermata la possibilità che oggetto della condotta di furto possono essere anche i files (Sez. 5, n. 32383 del 19/02/2015, Castagna, Rv. 264349, relativa ad una fattispecie concernente la condotta di un avvocato che, dopo aver comunicato la propria volontà di recedere da uno studio associato, si era impossessato di alcuni “files”, cancellandoli dal “server” dello studio, oltre che di alcuni fascicoli processuali in ordine ai quali aveva ricevuto in via esclusiva dai clienti il mandato difensivo, al fine di impedire agli altri colleghi dello studio un effettivo controllo sulle reciproche spettanze), senza peraltro alcuno specifico approfondimento della questione. 1.3. Gli argomenti che legano tra loro le prime pronunce ricordate, espressive di un orientamento sufficientemente uniforme, traggono spunto in primo luogo, quanto alla specificità del delitto di appropriazione indebita, dal tenore testuale della norma incriminatrice che individua l’ oggetto materiale della condotta nel “denaro od altra cosa mobile”; si richiamano alla nozione di “cosa mobile” nella materia penale, nozione caratterizzata dalla necessità che la cosa sia suscettibile di «fisica detenzione, sottrazione, impossessamento od appropriazione, e che a sua volta possa spostarsi da un luogo ad un altro o perché ha l’attitudine a muoversi da sé oppure perché può essere trasportata da un luogo ad un altro o, ancorché non mobile ab origine, resa tale da attività di mobilizzazione ad opera dello stesso autore del fatto, mediante sua avulsione od enucleazione» (Sez. 2, n. 20647 del 11/05/2010, Corniani, cit.); ne fanno conseguire l›esclusione delle entità immateriali - le opere dell›ingegno, le idee, le informazioni in senso lato - dal novero delle cose mobili suscettibili di appropriazione, considerata anche l›unica espressa disposizione normativa che equipara alle cose mobili le energie (previsione contenuta nell›art. 624, comma 2, cod. pen.). 1.4. La Corte non ignora l’esistenza di ragioni di ordine testuale, sistematico e di rispetto dei principi fondamentali di stretta legalità e tassatività delle norme incriminatrici, che potrebbero contrastare la possibilità di qualificare i files come beni suscettibili di rappresentare l’oggetto materiale dei reati contro il patrimonio. Occorre, però, approfondire la valutazione considerando la struttura del file, inteso quale insieme di dati numerici tra loro collegati che non solo nella rappresentazione (grafica, visiva, sonora) assumono carattere, evidentemente, materiale; va, altresì, presa in esame la trasfe-
486
DIRITTO DI INTERNET N. 3/2020
ribilità dei files tra dispositivi che li contengono, oltre che nell’ambiente informatico rappresentato dalla rete Internet; allo stesso tempo, occorre interpretare talune categorie giuridiche che, coniate in epoche in cui erano del tutto sconosciute le attuali tecnologie informatiche, devono necessariamente esser nuovamente considerate, al fine di render effettiva la tutela cui mirano le disposizioni incriminatrici dei delitti contro il patrimonio. 1.5.1. Nel sistema del codice penale la nozione di cosa mobile non è positivamente definita dalla legge, se non dalla ricordata disposizione che equipara alla cosa mobile l’energia elettrica e ogni altra energia economicamente valutabile (“Agli effetti della legge penale, si considera cosa mobile anche l’energia elettrica e ogni altra energia che abbia un valore economico”: art. 624, comma 2, cod. pen.). Per altro, le più accreditate correnti dottrinali e lo stesso formante giurisprudenziale hanno delimitato la nozione penalistica di “cosa mobile” attraverso l’individuazione di alcuni caratteri minimi, rappresentati dalla materialità e fisicità dell’oggetto, che deve risultare definibile nello spazio e suscettibile di essere spostato da un luogo ad un altro (così rendendo possibile una delle caratteristiche tipiche delle condotte di aggressione al patrimonio, che è costituita dalla sottrazione della cosa al controllo del proprietario o del soggetto titolare di diritti sulla cosa). 1.5.2. Secondo le nozioni informatiche comunemente accolte (per tutte, le specifiche ISO), il file è l’insieme di dati, archiviati o elaborati (ISO/IEC 2382- 1:1993), cui sia stata attribuita una denominazione secondo le regole tecniche uniformi; si tratta della struttura principale con cui si archiviano i dati su un determinato supporto di memorizzazione digitale. Questa struttura possiede una dimensione fisica che è determinata dal numero delle componenti, necessarie per l’archiviazione e la lettura dei dati inseriti nel file. Le apparecchiature informatiche, infatti, elaborano i dati in essi inseriti mediante il sistema binario, classificando e attribuendo ai dati il corrispondente valore mediante l’utilizzo delle cifre binarie (0 oppure 1: v. ISO/IEC 2382:2015 - 2121573). Le cifre binarie (bit, dall’acronimo inglese corrispondente all’espressione binary digit) rappresentano l’unità fondamentale di misura all’interno di un qualsiasi dispositivo in grado di elaborare o conservare dati informatici; lo spazio in cui vengono collocati i bit è costituito da celle ciascuna da 8 bit, denominata convenzionalmente byte (ISO/IEC 2382:2015 - 2121333). Com’è stato segnalato dalla dottrina più accorta che si è interessata di questa tematica, «tali elementi non sono entità astratte, ma entità dotate di una propria fisicità: essi occupano fisicamente una porzione di memoria quantificabile, la dimensione della quale dipende dalla quantità di dati che in essa possono esser contenuti, e possono 5 subire operazioni (ad esempio, la creazione, la copiatura e l’eliminazione) tecnicamente registrate o registrabili dal sistema operativo».
GIURISPRUDENZA PENALE 1.5.3. Questi elementi descrittivi consentono di giungere ad una prima conclusione: il file, pur non potendo essere materialmente percepito dal punto di vista sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i files possono essere conservati e elaborati. L’assunto da cui muove l’orientamento maggioritario, giurisprudenziale e della dottrina, nel ritenere che il dato informatico non possieda i caratteri della fisicità, propri della “cosa mobile” (nella nozione penalistica di quel termine) non è, dunque, condivisibile; al contrario, una più accorta analisi della nozione scientifica del dato informatico conduce a conclusioni del tutto diverse. 1.5.4. Resta, insuperabile, la caratteristica assente nel file, ossia la capacità di materiale apprensione del dato informatico e, quindi, del file; ma occorre riflettere sulla necessità del riscontro di un tale requisito - non desumibile dai testi di legge che regolano la materia - perché l’oggetto considerato possa esser qualificato come “cosa mobile” suscettibile di divenire l’oggetto materiale delle condotte di reato e, in particolare, di quella di appropriazione. 1.6. Tra i presupposti che la tradizione giuridica riconosce come necessari per ravvisare le condotte di sottrazione e impossessamento (o appropriazione) di cose mobili, il criterio della necessaria detenzione fisica della cosa è quello che desta maggiori perplessità. Se la ratio, sottesa alla selezione delle classi di beni suscettibili di formare oggetto delle condotte di reato di aggressione all’altrui patrimonio, è agevolmente individuabile nella prospettiva della correlazione delle condotte penalmente rilevanti (essenzialmente, quelle che mirano alla sottrazione della disponibilità di beni ai soggetti che siano titolari dei diritti di proprietà o di possesso sulle cose considerate) all’attività diretta a spogliare il titolare del bene dalla possibilità di esercitare i diritti connessi all’utilizzazione del bene, è chiaro che la sottrazione (violenta o mediante attività fraudolente o, comunque, dirette ad abusare della cooperazione della vittima) debba presupporre in via logica la disponibilità, da parte dei soggetti titolari, dei beni su cui cade la condotta penalmente rilevante; ma anche in questo contesto deve prendersi atto che il mutato panorama delle attività che l’uomo è in grado di svolgere mediante le apparecchiature informatiche determina la necessità di considerare in modo più appropriato i criteri classificatori utilizzati per la definizione di nozioni che non possono rimanere immutabili nel tempo. 1.7. In questa prospettiva, dunque, si è giunti da parte delle più accorte opinioni dottrinali - in modo coerente con la struttura dei fatti tipici considerati dall’ordina-
mento (caratterizzati dall’elemento della sottrazione e dal successivo impossessamento) e dei beni giuridici che l’ordinamento intende tutelare sanzionando le condotte contemplate nel titolo XIII del codice penale - a rilevare che «l’elemento della materialità e della tangibilità ad essa collegata, della quale l’entità digitale è sprovvista, perde notevolmente peso: il dato può essere oggetto di diritti penalmente tutelati e possiede tutti i requisiti della mobilità della cosa». A questo riguardo va considerata la capacità del file di essere trasferito da un supporto informatico ad un altro, mantenendo le proprie caratteristiche strutturali, così come la possibilità che lo stesso dato viaggi attraverso la rete Internet per essere inviato da un sistema o dispositivo ad un altro sistema, a distanze rilevanti, oppure per essere “custodito” in ambienti “virtuali” (corrispondenti a luoghi fisici in cui gli elaboratori conservano e trattano i dati informatici); caratteristiche che confermano il presupposto logico della possibilità del dato informatico di formare oggetto di condotte di sottrazione e appropriazione. In conclusione, pur se difetta il requisito della apprensione materialmente percepibile del file in sé considerato (se non quando esso sia fissato su un supporto digitale che lo contenga), di certo il file rappresenta una cosa mobile, definibile quanto alla sua struttura, alla possibilità di misurarne l’estensione e la capacità di contenere dati, suscettibile di esser trasferito da un luogo ad un altro, anche senza l’intervento di strutture fisiche direttamente apprensibili dall’uomo. 1.8.1. Occorre, infine, verificare se l’interpretazione proposta nei termini su indicati si ponga in contrasto con i principi volti a garantire l’intervento della legge penale quale extrema ratio, subordinando l’applicazione della sanzione penale al principio di legalità, nel suo principale corollario del rispetto del principio di tassatività e determinatezza. 1.8.2. L’analisi delle questioni interpretative sinora condotta mette in luce che sia il profilo della precisione linguistica del contenuto della norma (con riferimento all’indicazione della nozione di “cosa mobile”), sia quello della sua determinatezza (intesa come necessità che «nelle norme penali vi sia riferimento a fenomeni la cui possibilità di realizzarsi sia stata accertata in base a criteri che allo stato delle attuali conoscenze appaiano verificabili», non potendosi «concepire disposizioni legislative che inibiscano o ordinino o puniscano fatti che per qualunque nozione ed esperienza devono considerarsi inesistenti o non razionalmente accertabili»: Corte cost., n. 96 del 1981), non sono esposti a pericolo di compromissione. Ciò che va soppesato è il rispetto del principio di tassatività, che governa l’attività interpretativa giurisdizionale affinché l’applicazione della fattispecie incriminatrice non avvenga al di fuori dei casi espressamente considerati. In ordine al contenuto di tale principio, la Corte costituzionale ha ancora di recente ricordato che «l’inclusione nella formula descritti-
DIRITTO DI INTERNET N. 3/2020
487
GIURISPRUDENZA PENALE va dell’illecito di espressioni sommarie, di vocaboli polisensi, ovvero di clausole generali o concetti “elastici”, non comporta un vulnus del parametro costituzionale evocato, quando la descrizione complessiva del fatto incriminato consenta comunque al giudice - avuto riguardo alle finalità perseguite dall’incriminazione ed al più ampio contesto ordinamentale in cui essa si colloca - di stabilire il significato di tale elemento mediante un’operazione interpretativa non esorbitante dall’ordinario compito a lui affidato: quando cioè quella descrizione consenta di esprimere un giudizio di corrispondenza della fattispecie concreta alla fattispecie astratta, sorretto da un fondamento ermeneutico controllabile; e, correlativamente, permetta al destinatario della norma di avere una percezione sufficientemente chiara ed immediata del relativo valore precettivo» (Corte cost., n. 25 del 2019, riprendendo le enunciazioni delle precedenti decisioni n. 172 del 2014, n. 282 del 2010, n. 21 del 2009, n. 327 del 2008 e n. 5 del 2004). Ciò che rileva, come insegna il Giudice delle leggi, è che «la verifica del rispetto del principio di determinatezza della norma penale va condotta non già valutando isolatamente il singolo elemento descrittivo dell’illecito, ma raccordandolo con gli altri elementi costitutivi della fattispecie e con la disciplina in cui questa si inserisce.» (Corte cost., n. 327 del 2008). 1.8.3. L’interpretazione della nozione di cosa mobile, agli effetti della legge penale, fondata sullo specifico carattere della cosa, che consente alla stessa di formare oggetto sia di condotte di sottrazione alla disponibilità del legittimo titolare, sia di impossessamento da parte del soggetto responsabile della condotta illecita, risulta in sintonia con l’unico dato testuale che la legge penale riproduce nella definizione della categoria dei beni suscettibili di costituire l’ oggetto delle condotte tipiche dei delitti contro il patrimonio. Indiscusso il valore patrimoniale che il dato informatico possiede, in ragione delle facoltà di utilizzazione e del contenuto specifico del singolo dato, la limitazione che deriverebbe dal difetto del requisito della “fisicità” della detenzione non costituisce elemento in grado di ostacolare la riconducibilità del dato informatico alla categoria della cosa mobile. 1.8.4. A questo riguardo, va considerato che anche rispetto al denaro, che la legge equipara alla cosa mobile in più disposizioni e, quel che rileva in questa sede, nella norma incriminatrice dell’art. 646 cod. pen., si pongono in astratto le medesime questioni sollevate in relazione ai dati informatici. Si intende far riferimento alla circostanza per cui anche il denaro (che pur è fisicamente suscettibile di diretta apprensione materiale), nella sua componente espressiva del valore di scambio tra beni, è suscettibile di operazioni contabili, così come di trasferimenti giuridicamente efficaci, anche in assenza di una materiale apprensione delle unità fisiche che rappresentano l’ammontare del denaro oggetto di quelle operazioni giuridiche. Le operazioni realizzate mediante i contratti bancari, attraverso le disposizioni impartite
488
DIRITTO DI INTERNET N. 3/2020
dalle parti del rapporto, un tempo esclusivamente scritte e riprodotte su documenti cartacei, ed attualmente eseguite attraverso disposizioni inviate in via telematica, oggi così come in passato consentono di trasferire, senza la sua materiale apprensione, il denaro che forma oggetto delle singole disposizioni. Allo stesso tempo, è pacifico che le condotte dirette alla sottrazione, ovvero all’impossessamento del denaro, possono esser realizzate anche senza alcun contatto fisico con il denaro, attraverso operazioni bancarie o disposizioni impartite, anche telematicamente; ciò che non impedisce certo di ravvisare in tali condotte le ipotesi di reato corrispondenti. 1.8.5. Infine, dal punto di vista dell’effettiva realizzazione, attraverso le condotte appropriative di dati informatici, dell’effetto di definitiva sottrazione del bene patrimoniale al titolare del diritto di godimento ed utilizzo del bene stesso, le ipotesi di appropriazione indebita possono differenziarsi dalla generalità delle ipotesi di “furto di informazioni”, in cui si è frequentemente rilevato che il pericolo della perdita definitiva da parte del titolare dei dati informatici è escluso in quanto attraverso la sottrazione l’agente si procura sostanzialmente un mezzo per acquisire la conoscenza delle informazioni contenute nel dato informatico, che resta comunque nella disponibilità materiale e giuridica del titolare (valutazione che aveva indotto il legislatore, nel corso del procedimento di discussione ed approvazione della l. 23 dicembre 1993, n. 547 - recante modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica - , ad escludere che alle condotte di sottrazione di dati, programmi e informazioni fosse applicabile l’art. 624 cod. pen. « pur nell’ampio concetto di «cosa mobile» da esso previsto», in quanto «la sottrazione di dati, quando non si estenda ai supporti materiali su cui i dati sono impressi (nel qual caso si configura con evidenza il reato di furto), altro non è che una «presa di conoscenza» di notizie, ossia un fatto intellettivo rientrante, se del caso, nelle previsioni concernenti la violazione dei segreti»: così la relazione al relativo disegno di legge n. 2773). Infatti, ove l›appropriazione venga realizzata mediante condotte che mirano non solo all›interversione del possesso legittimamente acquisito dei dati informatici, in virtù di accordi negoziali e convenzioni che legittimano la disponibilità temporanea di quei dati, con obbligo della successiva restituzione, ma altresì a sottrarre definitivamente i dati informatici mediante la loro cancellazione, previamente duplicati e acquisiti autonomamente nella disponibilità del soggetto agente, si realizza il fatto tipico della materiale sottrazione del bene, che entra a far parte in via esclusiva del patrimonio del responsabile della condotta illecita. 1.9. Ritiene, pertanto, la Corte che nell’interpretazione della nozione di cosa mobile, contenuta nell’art. 646 cod. pen., in relazione alle caratteristiche del dato infor-
GIURISPRUDENZA PENALE matico (file) come sopra individuate, ricorre quello che la Corte costituzionale ebbe a definire il «fenomeno della descrizione della fattispecie penale mediante ricorso ad elementi (scientifici, etici, di fatto o di linguaggio comune), nonché a nozioni proprie di discipline giuridiche non penali», situazione in cui « il rinvio, anche implicito, ad altre fonti o ad esterni contrassegni naturalistici non viol[a] il principio di legalità della norma penale - ancorché si sia verificato mutamento di quelle fonti e di quei contrassegni rispetto al momento in cui la legge penale fu emanata - una volta che la reale situazione non si sia alterata sostanzialmente, essendo invece rimasto fermo lo stesso contenuto significativo dell’espressione usata per indicare gli estremi costitutivi delle fattispecie ed il disvalore della figura criminosa. In tal caso l’evolversi delle fonti di rinvio viene utilizzato mediante interpretazione logico-sistematica, assiologica e per il principio dell’unità dell’ordinamento, non in via analogica» (Corte cost. n. 414 del 1995). Alla stregua delle considerazioni che precedono, va quindi affermato il seguente principio di diritto: i dati informatici (files) sono qualificabili cose mobili ai sensi della
legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi dì lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”. La sentenza impugnata, pur con diversa motivazione, ha applicato in modo corretto la disposizione che si assume violata, sicché il motivo risulta infondato. (…) P.Q.M. Rigetta il ricorso dell’imputato che condanna al pagamento delle spese processuali. Con riferimento al ricorso della parte civile nella parte riguardante il reato di cui all’art. 635 quater cod. pen., annulla la sentenza impugnata rinviando al giudice civile competente per valore in grado di appello al quale demanda anche il regolamento tra le parti le spese del presente giudizio di legittimità. Dichiara inammissibile nel resto il ricorso della parte civile.
IL COMMENTO
di Jean-Paule Castagno e Andrea Alfonso Stigliano Sommario: 1. Premessa: la tutela penale delle informazioni aziendali. – 2. La sentenza: il file quale “cosa mobile”. – 3. Oltre la sentenza: quale tutela per i “furti di informazioni”? – 4. La mancata (o quasi) responsabilità degli enti per la sottrazione e rivelazione del know-how aziendale. – 5. Conclusioni. Con la sentenza n. 11959 dello scorso 13 aprile 2020, la Suprema Corte fornisce una interpretazione adeguatrice della fattispecie di appropriazione indebita tale da ricomprendere il file nel concetto di “cosa mobile” meritevole di tutela, riconoscendo al medesimo “una dimensione fisica costituita dalla grandezza dei dati che lo compongono”. Tuttavia, alla tutela offerta dall’art. 646 c.p. sfuggono tutte le situazioni nelle quali l’autore si limita ad una mera “presa di conoscenza” di notizie attuata senza il ricorso ad una materiale attività di sottrazione della cosa mobile (quale un file) contenente le stesse. La tutela delle informazioni aziendali richiede, pertanto, il ricorso ad ulteriori, più elastiche, fattispecie quali quelle poste a tutela dei segreti scientifici o commerciali, della riservatezza informatica e degli obblighi di fedeltà degli esponenti aziendali. With the judgement no. 11959 of last April 13, 2020, the Supreme Court provides an interpretation of the crime of misappropriation including the computer file in the concept of “thing” worthy of protection, recognizing it “a physical dimension constituted by the size of the data that compose it”. However, the protection offered by Article 646 of the Criminal Code does not apply to all the situations in which the author simply “acknowledges” the information without seizing the “thing” (even a computer file) containing such information. Therefore, protection of corporate information requires to apply further criminal provisions such as those protecting scientific or commercial secrets, IT confidentiality and the loyalty obligations of company employees.
1. Premessa: la tutela penale delle informazioni aziendali Il valore economico delle informazioni non è una novità del nostro tempo. Già nel secondo millennio avanti Cristo, gli Ittiti avevano compreso che la loro superiorità in guerra non era dovuta (o almeno non solo) alla abilità nella lotta o alla strategia bellica ma alla particolare tecnica di lavorazione del ferro che rendeva le loro armi più leggere e più resistenti rispetto a quelle degli avversari.
Tale tecnica era, pertanto, considerata di valore inestimabile e mantenuta segreta: un segreto tanto importante che chi lo avesse rivelato sarebbe stato punito con la morte. Con il perdurante processo di dematerializzazione che ha coinvolto numerosi ambiti della vita quotidiana, l’informazione ha assunto centralità non solo quale fattore determinante del ciclo produttivo ma quale valore in sé, tanto da divenire un attivo aziendale contabilmente quantificabile in termini di know-how.
DIRITTO DI INTERNET N. 3/2020
489
GIURISPRUDENZA PENALE Un recente studio della Commissione Europea in merito alle differenze tra le discipline nazionali in tema di segreti commerciali (1), svolto su un campione di società con sede nell’Unione Europea, osservava come per il 75% dei rispondenti il segreto industriale fosse visto come un asset strategicamente rilevante per la crescita, la competitività e la performance commerciale, mentre il 39% esprimeva una forte preoccupazione circa le possibili conseguenze derivanti dalla perdita del segreto e dalla caduta in pubblico dominio delle informazioni sottoposte a trattamento confidenziale (2), la cui illecita acquisizione poteva tradursi “nella perdita di vendite (56%), nell’aumento dei costi per le indagini interne (44%), nelle maggiori spese per la protezione (35%), nell’aumento dei costi per la negoziazione degli accordi (34%), e dei costi per cause e processi (31%)”. Quanto all’identikit soggettivo del possibile artefice dell’illecito, lo studio giungeva alla conclusione che “i dipendenti e gli ex dipendenti, i concorrenti e i fornitori” erano i principali responsabili della violazione di segreti. Nonostante tale imprescindibile ruolo dell’informazione nella dinamica aziendale, sul versante penalistico la tutela del patrimonio informativo dell’impresa non ha ancora trovato una disciplina unitaria. Proprio con la sentenza n. 11959 dello scorso 13 aprile 2020, la Suprema Corte, pur fornendo una interpretazione adeguatrice della fattispecie di appropriazione indebita tale da ricomprendere il file nel concetto di cosa mobile meritevole di tutela, porta alla luce tutte le difficoltà di adattamento delle tradizionali fattispecie delittuose rispetto al passaggio dalla società industriale alla società dell’informazione: l’informazione continua a non esser vista come valore in sé da tutelare ma solo in quanto incastonata in una “cosa mobile”. La tutela delle informazioni aziendali richiede, pertanto, il ricorso ad ulteriori, più elastiche, fattispecie quali quelle a tutela dei segreti scientifici o commerciali, della riservatezza informatica e degli obblighi di fedeltà degli esponenti aziendali.
2. La sentenza: il file quale “cosa mobile”
Con la sentenza in commento la Suprema Corte affronta l’applicabilità della fattispecie di appropriazione indebita di files aziendali da parte di un dipendente dimissionario. Il caso oggetto di disamina concerne la condotta posta in essere da un dipendente di una s.r.l. che, essendosi (1) Study on Trade Secrets and Parasitic Copying (Look-alikes) MARKT/2010/20/D Report on Trade Secrets for the European Commission 23 September 2011. (2) Tale posizione è condivisa da Almeling, Seven Reason Why Trade Secrets Are Increasingly Important, in Berkeley Technological Law Journal, 2012, 1091.
490
DIRITTO DI INTERNET N. 3/2020
dimesso per poi essere assunto da una società concorrente, riconsegnava il PC aziendale in uso al medesimo, parzialmente non funzionante e completamente formattato, quindi privo dei dati informatici afferenti all’attività lavorativa prestata in favore del precedente datore di lavoro. Tali dati venivano successivamente ritrovati salvati su un computer nella disponibilità dell’(ex) dipendente medesimo. La sentenza di condanna della Corte d’Appello di Torino per i reati di cui agli articoli 646 e 635 c.p. veniva impugnata dall’imputato lamentando, tra l’altro, la “violazione di legge, in riferimento all’art. 646 cod. pen., per aver ritenuto in modo erroneo che i dati informatici siano suscettibili di appropriazione indebita, non potendo essi essere qualificati come cose mobili”. La Suprema Corte, nel rigettare il ricorso, afferma il principio di diritto secondo il quale “i dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”. Con questo arresto innovativo, i giudici di legittimità si discostano da una precedente giurisprudenza che, con riferimento a condotte di copia non autorizzata di files contenuti in un supporto informatico altrui, aveva escluso sia l’applicabilità del reato di furto, ritenendo che in tali ipotesi non si realizzasse la perdita del possesso della res da parte del legittimo detentore (3), sia, analogamente, la applicabilità della fattispecie di appropriazione indebita, ritenendo tale ipotesi sussistente solo nei casi in cui l’autore si appropriasse non del bene immateriale (l’informazione) ma del documento che lo conteneva (pennino usb, documento cartaceo) (4). Tale precedente orientamento faceva leva sul tenore testuale della norma incriminatrice che individua l’oggetto materiale del reato nel “denaro o cosa mobile”, concetto questo che richiederebbe l’attitudine della cosa ad essere soggetta a “fisica detenzione, sottrazione, impossessamento od appropriazione” e a potersi “muoversi da sé” o “essere trasportata”: stando così le “cose”, il file, in quanto bene immateriale, veniva escluso dal novero delle cose mobili suscettibili di appropriazione (5). La Corte – pur mantenendo fuori dal perimetro di tutela, per evidenti ragioni di ordine testuale, sistematico e di rispetto dei principi fondamentali di stretta legalità e tassatività delle norme incriminatrici, la categoria dei (3) Cass. 26 giugno 2010, n. 44840; Cass. 13 novembre 2003, n. 3449. (4) Cass. 12 luglio 2011, n. 33839; Cass. 30 settembre 2014, n. 47105; Cass. 11 maggio 2010, n. 20647. (5) Fa esplicita eccezione l’energia ai sensi dell’art. 624 comma 2 c.p..
GIURISPRUDENZA PENALE beni immateriali – giunge ad una estensione del concetto di cosa mobile atto a ricomprendere i files, attraverso una “materializzazione” dei medesimi. Ed infatti, secondo le “nozioni informatiche comunemente accolte” (ISO/IEC 2382 – 1:1993), il file consiste nell’insieme di dati, archiviati o elaborati, cui sia stata attribuita una denominazione secondo le regole tecniche uniformi, ovverosia la “struttura principale con cui si archiviano i dati su un determinato supporto di memorizzazione digitale”, dotata di una dimensione fisica determinata dal numero delle componenti, necessarie per l’archiviazione e la lettura dei dati inseriti nel file denominati bit e byte (ISO/IEC 2382:2015 – 2121333). Per modo che, anche se “invisibili agli occhi”, i files possiedono “una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i files possono essere conservati e elaborati”. Il successivo passaggio del ragionamento della Corte attiene alla attitudine del file ad essere oggetto di detenzione, requisito generalmente ritenuto necessario al fine di ravvisare condotte di sottrazione e impossessamento (o appropriazione) di cose mobili. Se la ratio sottesa alla selezione delle classi di beni potenzialmente oggetto delle condotte di reato di aggressione all’altrui patrimonio deve essere individuata nell’attitudine di tali beni ad essere appresi, con violenza o con inganno, ai soggetti che siano titolari dei diritti di proprietà o di possesso sulle cose considerate (i quali devono avere la disponibilità dei beni medesimi), il passaggio da una economia industriale (delle cose) ad una economia informatica (delle informazioni) impone di ripensare ai criteri definitori del concetto di bene ed, in particolare, alla perdita di rilevanza degli elementi della materialità e tangibilità. Il file, infatti, pur non potendo essere materialmente detenuto (e quindi appreso), possiede tutti i requisiti della mobilità della cosa: può essere trasferito da un supporto informatico ad un altro, mantenendo le proprie caratteristiche strutturali, può viaggiare attraverso la rete Internet, può essere “custodito” in ambienti “virtuali” i quali costituiscono partizioni di luoghi fisici in cui gli elaboratori conservano e trattano i dati informatici. La Suprema Corte continua il proprio percorso argomentativo testando la tenuta della interpretazione adeguatrice espressa nella sentenza con il principio di legalità, nel suo principale corollario del rispetto dei princìpi della precisione, determinatezza e tassatività. Con riferimento alla precisione e alla determinatezza, le argomentazioni già svolte – sia in termini di “materialità” del file sia in termini di possibilità di una sua “apprensione virtuale” – garantiscono che l’interpretazione fornita al testo della norma non dia vita ad una disposizione legislativa che inibisca fatti che per qualunque nozione
ed esperienza devono considerarsi inesistenti o non razionalmente accertabili: anche in assenza di nozioni tecniche avanzate, il concetto di “furto di dati” è ormai entrato nel linguaggio comune ed è considerato altrettanto (se non maggiormente) lesivo rispetto al furto di beni dotati di una più marcata materialità. Anche sotto il profilo della tassatività, la sentenza, richiamandosi una serie di recenti arresti del giudice delle leggi (6) – secondo il quale “l’inclusione nella formula descrittiva dell’illecito di espressioni sommarie, di vocaboli polisensi, ovvero di clausole generali o concetti “elastici” non comporta un vulnus del parametro costituzionale evocato, quando la descrizione complessiva del fatto incriminato consenta comunque al giudice, avuto riguardo alle finalità perseguite dall’incriminazione ed al più ampio contesto ordinamentale in cui essa si colloca, di stabilire il significato di tale elemento mediante un’operazione interpretativa non esorbitante dall’ordinario compito a lui affidato” – conclude che l’indiscusso valore patrimoniale del dato informatico è caratteristica assolutamente più pregnante nella definizione di cosa mobile rispetto al concetto di “fisicità”. D’altra parte, anche il denaro, che la legge equipara alla cosa mobile in più disposizioni (tra le quali proprio l’art. 646 c.p.), può essere oggetto di sottrazione, trasferimento e impossessamento sia nella sua componente fisica sia nella sua componente contabile, attraverso operazioni bancarie o disposizioni impartite, anche telematicamente, senza che venga meno l’assoggettabilità dell’autore del reato a condotte di furto o appropriazione indebita. L’interpretazione adeguatrice del concetto di “cosa mobile” così fornita appare, dunque, rispettosa dei principi di redazione della fattispecie penale “mediante ricorso ad elementi (scientifici, etici, di fatto o di linguaggio comune), nonché a nozioni proprie di discipline giuridiche non penali”, situazione in cui “il rinvio, anche implicito, ad altre fonti o ad esterni contrassegni naturalistici non viol(a) il principio di legalità della norma penale - ancorché si sia verificato mutamento di quelle fonti e di quei contrassegni rispetto al momento in cui la legge penale fu emanata - una volta che la reale situazione non si sia alterata sostanzialmente, essendo invece rimasto fermo lo stesso contenuto significativo dell’espressione usata per indicare gli estremi costitutivi delle fattispecie ed il disvalore della figura criminosa. In tal caso l’evolversi delle fonti di rinvio viene utilizzato mediante interpretazione logico-sistematica, assiologica e per il principio dell’unità dell’ordinamento, non in via analogica” (7). Chiarita l’estensione del concetto di cosa mobile, l’ultima parte della motivazione si concentra sulla necessità,
(6) Corte cost. 2019, n. 25; riprendendo le enunciazioni delle precedenti decisioni: Corte cost. 2014, n. 172; Corte cost. 2010, n. 282; Corte cost. 2009, n. 21; Corte cost. 2008, n. 327; Corte cost. 2004, n. 5. (7) Corte cost. 1995, n. 414.
DIRITTO DI INTERNET N. 3/2020
491
GIURISPRUDENZA PENALE per la configurabilità del reato di appropriazione indebita, che la condotta appropriativa comporti una speculare definitiva sottrazione della cosa al legittimo titolare. Condizione, questa, sussistente nel caso analizzato in sentenza alla luce della duplice condotta di contemporanea apprensione dei files e di formattazione della memoria del sistema informatico prima della restituzione, pertanto privato dei files medesimi. Tale situazione, prosegue la Corte, ben si distingue dai casi di sottrazione di files dalle ipotesi di semplici “furti di informazioni” nei quali l’agente si procura un mezzo per acquisire la conoscenza delle informazioni contenute nel dato informatico, che resta comunque nella disponibilità materiale e giuridica del titolare. Proprio l’assenza, in tali ipotesi, di una definitiva sottrazione dei dati, infatti, aveva già spinto il legislatore, nel corso del procedimento di discussione ed approvazione della l. 23 dicembre 1993, n. 547, in tema di criminalità informatica, ad escludere l’applicabilità del reato di furto in ipotesi di “sottrazione di dati, quando non si estenda ai supporti materiali su cui i dati sono impressi (nel qual caso si configura con evidenza il reato di furto), altro non è che una “presa di conoscenza” di notizie, ossia un fatto intellettivo rientrante, se del caso, nelle previsioni concernenti la violazione dei segreti” (8).
3. Oltre la sentenza: quale tutela per i “furti di informazioni”?
Con la sentenza in commento, la Suprema Corte opera un encomiabile sforzo argomentativo, riuscendo, attraverso una disamina sia tecnica (del file quale entità dotata di una sua materialità) sia teleologica (delle norme penali a tutela del patrimonio), ad estendere il concetto di cosa mobile fino a ricomprenderne i files informatici. Una operazione ermeneutica di grande pregio che ha il merito di adeguare l’oggetto di tutela del reato di appropriazione indebita anche a beni con una fisicità impercettibile, pur mantenendosi entro gli stretti vincoli imposti dal principio di legalità – nelle sue sfumature di precisione, determinatezza e tassatività – in materia penale. Allo stesso tempo, proprio le ultime considerazioni svolte nel precedente paragrafo permettono di comprendere come le classiche figure delittuose di furto ed appropriazione indebita non siano in grado di fornire adeguata risposta rispetto al “furto” o all’ “appropriazione” di una informazione: tutti quei casi nei quali l’autore della condotta si limita a creare una copia di un documento informatico senza l’autorizzazione del legittimo titolare, che quindi non perde la disponibilità del file illegittimamente copiato, ovvero, casi nei quali ci si appropri del
(8) Relazione introduttiva al d.d.l. n. 2773 del 1993.
492
DIRITTO DI INTERNET N. 3/2020
contenuto del documento (per esempio copiandolo ed incollandolo su un nuovo file) senza neppure creare una copia del medesimo. In tutte queste ipotesi, si rientra in quella che la Suprema Corte etichetta come mera “presa di conoscenza” non sanzionabile ai sensi degli articoli 624 e 646 c.p. (9). Tali situazioni, tuttavia, non appaiono oggi completamente sprovviste di tutela penale, anche se la stessa appare disorganica e ricondotta a diverse figure di reato. Nell’attuale panorama, la disposizione che, più di tutte, tutela l’“informazione” aziendale appare essere la nuova formulazione – in vigore successivamente ai fatti di cui alla sentenza in commento e, pertanto, agli stessi non applicabile – dell’art. 623 c.p. in tema di rivelazione di segreti scientifici o commerciali, così come ridisegnato dal d.lgs. 11 maggio 2018, n. 63, al fine di adeguare la disciplina interna ai contenuti della direttiva UE 2016, n. 943, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti. Secondo la originaria previsione normativa la tutela penale del segreto era ancorata ad una dimensione industriale, consistendo la fattispecie di cui all’art. 623 c.p. nella condotta di “chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche o applicazioni industriali, le rivela o le impiega a proprio o altrui profitto (10)”. La norma si caratterizzava sia per la ristretta cerchia di soggetti che potevano commettere il reato sia per il forte legame con il contesto economico, prettamente produttivo, (11) dovendo il segreto tutelabile, necessariamente, estrinsecarsi in una notizia suscettibile di potenziale applicazione tecnica. Parallelamente, l’ordinamento civile si apriva ad una visione moderna e innovativa del sapere tecnologico
(9) Diversamente, sul versante processuale - che non è sottoposto ai medesimi vincoli interpretativi imposti del principio di stretta legalità in materia penale - la giurisprudenza ha ormai equiparato l’estrazione di una copia di dati informatici, restituendo il sistema informatico al legittimo proprietario, al sequestro dei dati medesimi. In un primo momento, le corti di merito, in particolare in contesti cautelari, avevano fermamente negato che l’effettuazione di una copia potesse costituire una ablazione di un bene e quindi che si potesse parlare di sequestro anche in assenza di sottrazione dell’involucro contenente i dati informatici. Più di recente, la giurisprudenza di legittimità ha finalmente riconosciuto come la apprensione della stessa copia costituisca una privazione e quindi possa essere oggetto di riesame anche nel caso di intervenuta restituzione (Cass. 24 febbraio 2015, n. 24617; Cass. Sez. Un., 20 luglio 2017, n. 40963). (10) Si vedano sul punto Fiandaca-Musco, Diritto Penale. Parte speciale, Vol. II, tomo I, Bologna 2006; Cianfarini La responsabilità penale in materia di proprietà industriale, Bologna, 2007, secondo i quali la fattispecie 623 c.p., costituiva una forma di violazione del segreto industrialistico, la cui definizione si ricavava dall’art. 98 c.p.i., che doveva quindi assumere rilievo anche al fine di definire l’ambito di operatività della norma penale. (11) Cass. 18 maggio 2001, n. 25008.
GIURISPRUDENZA PENALE e poneva al centro della propria azione di tutela l’informazione commerciale, preziosa, in quanto tale. Sin dal 2005, anno in cui veniva varato il Codice della Proprietà Industriale (c.p.i.), i segreti commerciali trovavano una specifica disciplina agli artt. 98 (12) e 99 e venivano espressamente inclusi tra i diritti “non titolati”, basandosi sulla tripartizione concettuale del segreto commerciale costituita dagli elementi della riservatezza, del valore intrinseco e della sottoposizione a misure di protezione. La Corte di Cassazione Penale (13), al fine di individuare il bene giuridico meritevole di tutela – i segreti “proteggibili” – continuava a valersi dell’ambigua definizione normativa delle “informazioni destinate al segreto sopra scoperte o invenzioni scientifiche o applicazioni industriali”, comportando un duplice disallineamento rispetto alla tutela civile: da una parte, vi era il rischio di estendere la tutela penale anche a quelle informazioni reputabili come segrete ma non qualificate secondo i criteri previsti dal c.p.i. (e quindi proteggibili, in ambito civile, al più solo attraverso la disciplina della concorrenza sleale), portando, così, al paradosso di una tutela penale estesa ad ipotesi meno gravi di quelle sanzionate civilmente; dall’altra parte, l’esclusiva rilevanza normativa del segreto “industriale” lasciava fuori dalla tutela penale tutti i segreti prettamente commerciali anche se riservati, dotati di valore e sottoposti a protezione da parte del titolare (14). Non mancavano, inoltre, critiche (15) sulla natura di reato proprio, valutata quale elemento controverso della fattispecie: riconoscendosi nell’art. 623 c.p. l’espressione penalistica dell’obbligo di fedeltà del lavoratore (di cui all’art. 2105 c.c.) si giungeva ad una forte limitazione della cerchia dei possibili soggetti attivi del reato che potevano individuarsi, quindi, solamente nei titolari del rapporto di lavoro subordinato. Su tale scenario interveniva la direttiva UE 2016 n. 943, il cui obiettivo dichiarato era quello di spingere gli Stati membri verso una disciplina comune del c.d.
(12) Il testo originario dell’art. 98 c.p.i. recitava: “Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; b) abbiano valore economico in quanto segrete; c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.”. (13) Cass. 9 maggio 2017, n. 11309. (14) Omodei, La tutela penale del segreto commerciale in Italia. Fra esigenze di adeguamento e possibilità di razionalizzazione in Diritto Penale Contemporaneo – Rivista Trimestrale, Financial Crimes, 2019, 112 ss. (15) Alessandri, Riflessi penalistici della innovazione tecnologica, Milano, 1984.
trade secret (16) e così sancire il passaggio da una terminologia e un concetto tradizionale del “segreto industriale” ad una terminologia che fosse globalmente evoluta ed incentrata (analogamente a quanto previsto nel mondo anglosassone (17)) sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali). Sul versante penale (18), la principale novità è rappresentata dalla modifica dell’art. 623 c.p., che ha comportato la nascita di una nuova fattispecie delittuosa (in linea con quella civilistica) in grado di valorizzare e proteggere l’informazione quale valore strategico per l’impresa, colmando in tal modo i precedenti vuoti normativi di tutela. La modifica ha, anzitutto, operato apportando una estensione della tutela del patrimonio immateriale dell’azienda, affiancando alla tutela delle “notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche” anche quella dei “segreti commerciali” (19); il bene giuridico tutelato dalla nuova formulazione normativa è da individuarsi, pertanto, nel c.d. segreto scientifico-commerciale che, simmetricamente a quello disciplinato in ambito civilistico, rappresenta una speciale figura del segreto professionale, che si compone dei tre elementi costitutivi della segretezza, del valore economico e della protezione.
(16) Per quanto attiene la definizione del segreto commerciale, la Direttiva ha ripreso sostanzialmente quella stabilita dall’art. 39 dell’Accordo TRIPs adottato a Marrakech il 15 aprile 1994. Nello specifico, l’art. 2 della Direttiva fornisce la definizione di “segreto commerciale”, come un insieme di informazioni che: nel loro insieme o nella precisa configurazione e combinazione dei loro elementi non siano generalmente note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione; abbiano valore commerciale in quanto segrete; siano sottoposte a misure ragionevoli a mantenerle segrete, secondo le circostanze, da parte della persona al cui legittimo controllo sono soggette. (17) Per approfondire si vedano le pronunce in tema “trade secrets” degli organi giudicanti del Regno Unito: “Saltam v. Campbell” del 1948; “Coco v. Clark” del 1968; “Lansing Linde Ltd. v. Kerr” del 1991. (18) Sul punto, l’art. 9, comma 3, d. lgs. 11 maggio 2018 n. 63, enuncia una norma definitoria secondo la quale “ai fini dell’articolo 623 del codice penale, nel testo riformulato dal presente articolo, le notizie destinate a rimanere segrete sopra applicazioni industriali, di cui alla formulazione previgente del medesimo articolo 623, costituiscono segreti commerciali”. Attraverso tale statuizione – evidentemente legata anche alle peculiari regole sulla successione delle leggi nel tempo applicabili in materia penale – si è voluto far rientrare nella nozione di segreti commerciali anche le notizie destinate a rimanere segrete riguardo le applicazioni industriali, che senza tale previsione sarebbero rimaste sprovviste di tutela. (19) L’ampia formula descrittiva del segreto commerciale prevista dalla norma incriminatrice induce, ora, a ritenere che entrambe le figure distinte del segreto scientifico-industriale (metodi di lavorazione, macchinari utilizzati, prodotti realizzati) e del segreto scientifico-commerciale (contratti in corsa, organizzazione della produzione, della distribuzione, della pubblicità) siano comprese nell’area di tutela assicurata dalla disposizione.
DIRITTO DI INTERNET N. 3/2020
493
GIURISPRUDENZA PENALE Per quanto attiene il primo requisito, la segretezza, pur se la sussistenza del medesimo non può essere rimessa alla esclusiva valutazione dell’imprenditore o di altro beneficiario, dovendo pur sempre scaturire da oggettive ragioni giustificatrici del divieto di conoscenza da parte dei terzi, tuttavia, la presenza di procedure di gestione di tali informazioni nonché di specifiche clausole contrattuali di confidenzialità appare un utile strumento al fine di rafforzare tale carattere di segretezza. Il valore economico, in linea con il dettato di cui all’art. 98 c.p.i., non fa riferimento ad una quotazione di mercato quanto, piuttosto, ad un oggettivo e concreto vantaggio per il suo utilizzatore esclusivo rispetto alla concorrenza, idoneo ad assicurare o addirittura accrescere la posizione di mercato. Per quanto concerne l’elemento costitutivo della protezione, assicurando il precetto la tutela penale soltanto al titolare del diritto al segreto che possa dimostrare di avere positivamente assolto ad un onere di diligenza nella protezione dei dati da altrui intrusioni, è di preminente importanza che tali protezioni siano state correttamente individuate e predisposte (20). Inoltre, l’area del penalmente rilevante è stata estesa attraverso la previsione di due distinte fattispecie di reato. Parallelamente alla condotta già prevista nella precedente formulazione, ove è punito il soggetto che usi o riveli il segreto essendone venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, il secondo comma prevede una nuova ipotesi delittuosa che punisce chiunque sia venuto a conoscenza dell’informazione in modo abusivo e la utilizzi al fine di un profitto proprio o altrui (21). L’ultima novità consiste nella previsione dell’aggravante, di cui al nuovo terzo comma, che interviene quando il fatto è “commesso tramite qualsiasi strumento informatico”: tale ampia formulazione porta ad ipotizzare una sua applicazione generalizzata in quanto, attualmente, appare difficile ipotizzare una condotta di acquisizione, divulgazione ed uso di segreti commerciali commessa interamente senza l’uso di alcuno strumento informatico. Da un confronto tra l’art. 646 c.p., così come interpretato dalla Suprema Corte nella sentenza in commento, e l’art. 623 c.p., le due norme, pur presentando una parziale sovrapponibilità, mantengono zone di intervento distinte. Le differenze sono da ricondurre all’oggetto materiale del reato (cosa mobile dotata di una fisicità vs
(20) Galli, Il nuovo diritto del know-how e dei segreti commerciali Prima lettura sistematica delle novità introdotte dal D.Lgs. 11 Maggio 2018, n. 63 ss. (21) La scelta di accumunare le due distinte ipotesi criminose in una medesima disposizione normativa, non esemplare sotto l’aspetto sistematico, conferma come la distinzione concettuale tra la categoria giuridica del segreto e quella della riservatezza non sia stata tenuta nella dovuta considerazione delineando una linea di reciproco confine confusa ed incerta.
494
DIRITTO DI INTERNET N. 3/2020
segreto scientifico o commerciale) e alla condotta (appropriazione vs divulgazione o utilizzo). Le due fattispecie, peraltro, potrebbero concorrere: si pensi se, in un caso analogo a quello analizzato nella sentenza, i files illecitamente appresi dall’ex dipendente contengano segreti scientifici o commerciali e gli stessi siano successivamente rivelati o utilizzati (per esempio) nell’ambito della nuova società presso la quale il medesimo viene assunto, al fine di conseguire un profitto (per il dipendente e/o per il nuovo datore di lavoro). Per altro verso, la simmetria ormai raggiunta tra fattispecie penale e fattispecie civile ha comportato l’insorgere di talune critiche (22) circa le inevitabili sovrapposizioni dei piani di tutela dell’ordinamento laddove l’affievolimento della linea di demarcazione tra illecito aquiliano ex art. 2043 c.c. e responsabilità penale potrebbe comportare il rischio di un indiscriminato impiego dell’azione penale “per poter “sfruttare” i poteri di indagine della pubblica accusa, certamente più idonei per l’identificazione dell’autore e per la ricostruzione della condotta illecita nella sua interezza” (23).
4. La mancata (o quasi) responsabilità degli enti per la sottrazione e rivelazione del knowhow aziendale
Nel sistema di tutele così delineato vi è un grande assente. Né il reato di appropriazione indebita né il reato di rivelazione di segreti scientifici o commerciali sono inclusi nel catalogo dei reati presupposto di cui al d.lgs. 8 giugno 2001, n. 231 (d.lgs. 231/2001). Una assenza, soprattutto quella dell’art. 623 c.p., che non può che muovere critiche se si consideri che, nell’attuale contesto economico, non è certamente situazione residuale che un furto di informazioni aziendali (rectius di segreti scientifici o commerciali) sia commesso nell’interesse o a vantaggio di una impresa (in termini di sviluppo di nuovi prodotti, di identificazione di nuovi potenziali clienti, ecc.) (24). (22) Sul punto: Marra, Extrema ratio ed ordini sociali spontanei: Un criterio di sindacato sulle fattispecie penali eccessive, Torino, 2018; Masera, La nozione costituzionale di materia penale, Torino, 2018; Omodei, La tutela penale del segreto commerciale in Italia. Fra esigenze di adeguamento e possibilità di razionalizzazione, cit. (23) Omodei, La tutela penale del segreto commerciale in Italia. Fra esigenze di adeguamento e possibilità di razionalizzazione, cit., 124. (24) Non può peraltro sfuggire che, con le modifiche operate dalla l. 30 novembre 2017, n. 179, in tema di whistleblowing, è stato necessario un coordinamento tra la tutela dei soggetti segnalanti e le altre disposizioni poste a presidio della non circolazione di informazioni che è interesse delle aziende mantenere riservate, fra le quali figurano i segreti commerciali. Il legislatore ha risolto tale possibile contrasto configurando nelle ipotesi di segnalazione effettuata “nelle forme e nei limiti previsti nel comma 2-bis”, il riconoscimento del perseguimento dell’interesse all’integrità dell’ente, costituendo la “giusta causa” di rivelazione di notizie coperte formalmente dall’obbligo di segreto. In tal modo, le norme che sanziona-
GIURISPRUDENZA PENALE Tale vuoto normativo può, tuttavia, essere parzialmente compensato dalla possibilità di ricondurre condotte di appropriazioni di informazioni (anche riguardanti segreti) a talune fattispecie rilevanti per la responsabilità degli enti, quali l’accesso abusivo a sistemi informatici o la corruzione tra privati (25). Per quanto concerne l’accesso abusivo ad un sistema informatico o telematico, a differenza della figura aggravata di rivelazione di segreti scientifici o industriali, non è sufficiente un qualsivoglia utilizzo di uno strumento informatico ma è necessario che l’apprensione di dati o informazioni sia conseguenza di un accesso abusivo. Una tale ipotesi potrebbe, pertanto, rilevare l’illecito a patto che, in primo luogo, l’informazione sia contenuta in un sistema informatico e, in secondo luogo, che l’agente acceda “abusivamente” a tale sistema: un accesso abusivo può ricorrere in mancanza originaria di autorizzazione o di sua successiva revoca (26) ma anche quando, alla luce dei principi espressi dalle Sezioni Unite dalle note
no la rivelazione dei segreti vedranno un restringimento della loro area di operatività non potendosi incriminare quali “rivelazioni illecite” le segnalazioni effettuate per il tramite del canale predisposto dal modello 231. In merito, si è osservato come, in considerazione della operatività limitata della giusta causa, ancorata ai soli casi delle segnalazioni effettuate correttamente ai sensi della normativa 231, occorre domandarsi quali conseguenze discendano qualora le segnalazioni, una volta effettuate, si rivelino “improprie”. In tal caso, la segnalazione sarà potenzialmente in grado di arrecare un danno ai beni giuridici tutelati dalle norme di cui agli artt. 622 e 623 c.p. e quindi giustificare l’operatività delle due fattispecie incriminatrici. Così, Pandolfo, Whistleblowing e tutela dei segreti di interesse aziendale, in Lavorosì associazione per lo sviluppo del lavoro, 2018, reperibile all’indirizzo <http://www.lavorosi.it/rapporti-di-lavoro/ riservatezza/whistleblowing-e-tutela-dei-segreti-di-interesse-aziendale/> :“La “segnalazione”, che ha una finalità di valenza generale, non è nemmeno potenzialmente in grado di arrecare un vulnus agli interessi che l’art. 2105 e gli artt. 622 e 623 intendono tutelare: la segnalazione, di per sé, non è destinata ad essere fonte di vantaggi diretti per il segnalante; chi tratta le segnalazioni è ben lontano dall’essere un soggetto che possa trarne un profitto proprio o per altri”. (25) Una ulteriore opzione attiene alla possibilità che condotte riconducibili ai reati di appropriazione indebita (di files) o di rivelazione o utilizzo di segreti scientifici o commerciali si configurino quali reati fine di una associazione per delinquere. Il discorso appare molto simile a quanto avvenuto nell’ambito dei delitti tributari prima che questi venissero inseriti nei reati presupposto della responsabilità degli enti. Prima del c.d. “decreto fiscale” – d.l. 26 ottobre 2019 n. 124 la giurisprudenza di legittimità prevedeva, seppur in via indiretta, la possibilità di confisca di beni della persona giuridica, quale profitto dei reati fiscali (reati fine) compiuti dall’associazione per delinquere (reato presupposto). Si veda anche sul punto Cass. 14 ottobre 2015, n. 46162. (26) Cass. 25 ottobre 2018, n. 48895, secondo la quale “La preposizione ad una branca o un settore autonomo dell’impresa del dipendente con qualifica dirigenziale non implica necessariamente l’accesso indiscriminato a tutte le informazioni in possesso dell’imprenditore preponente, perché una compartimentazione dell’accesso informativo è pienamente compatibile, sul piano logico e giuridico, con il carattere settoriale della preposizione. Ne consegue che risponde di accesso abusivo a sistema informatico il dirigente che non provi di avere accesso illimitato ai dati del datore e superi i limiti della suddetta compartimentazione”.
sentenze “Casani” (27) e “Savarese” (28), l’agente “violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema” ovvero “ ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito”. Con riferimento a tale ultima situazione, la Quinta Sezione della Suprema Corte, con la recente sentenza del 2 maggio 2019, n. 18284, ha ricondotto alla fattispecie di cui all’art. 615 ter c.p. l’accesso ad una casella di posta elettronica mediante abusivo utilizzo della password, la lettura della corrispondenza privata e la modifica apportata alle credenziali d’accesso rendendo, in tal modo, inaccessibile la casella da parte del titolare. In tale arresto, la Suprema Corte ha esteso per la prima volta i principi enunciati nella sentenza “Savarese” anche al settore privato – “nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico” – qualificando come illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri manifestandosi in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere (29). Nel caso in cui il “furto” e la successiva rivelazione dell’informazione/segreto da parte di un esponente aziendale, sia esso apicale o subordinato, si manifestino quale diretta conseguenza di una precedente promessa o ricezione di denaro o di altra utilità, tale condotta potrebbe rilevare in termini di violazione degli obblighi inerenti al loro ufficio o degli obblighi di fedeltà di cui alla fattispecie della corruzione tra privati, disciplinata dall’art. 2635 c.c.. In merito, se gli obblighi inerenti all’ufficio disciplinati dall’art. 2635 c.c. sono quelli rilevabili da precetti civilistici che regolano e disciplinano i singoli doveri dei soggetti qualificati, in tale categoria andrebbero allora inseriti anche tutti quegli gli obbli (27) Cass. Sez. Un., 27 ottobre 2011, n. 4694: “Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”. (28) Cass. Sez. Un., 18 maggio 2017, n. 41210: “Integra il delitto previsto dall’art. 615-ter comma 2 n. 1 c.p. la condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un servizio informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita”. (29) Per un commento alla sentenza, Castagno - Stigliano, L’accesso abusivo a sistema informatico nell’era delle tecnologie dell’informazione e della comunicazione, in questa Rivista, 2019, 235 ss.
DIRITTO DI INTERNET N. 3/2020
495
GIURISPRUDENZA PENALE ghi finalizzati ad assicurare la tutela degli interessi patrimoniali della società (30), inclusi quelli legati a beni immateriali quali informazioni rilevanti e/o segrete. Peraltro, a norma del terzo comma, alla responsabilità del dipendente “infedele”, si andrebbe ad aggiungere quella del corruttore. In entrambe le ipotesi sopra descritte, quindi, qualora il reato venisse commesso nell’interesse o a vantaggio di una persona giuridica – il nuovo datore di lavoro per esempio –, quest’ultimo potrebbe essere chiamato a rispondere per gli illeciti di cui agli articoli 24 bis comma 1 (reati informatici) e 25 ter comma 1 lett. s-bis) (reati societari) del d. lgs. 231/2001. A tal fine, sarà sempre necessario che il reato presupposto sia commesso dal dipendente che si appropri delle informazioni/files aziendali (il quale, al momento del fatto, sarà ancora formalmente legato alla società vittima del reato) in concorso con un esponente della società beneficiaria, quale istigatore del reato di accesso abusivo ovvero quale corruttore.
5. Conclusioni
Nonostante i numerosi passi in avanti, sia in ambito legislativo sia giurisprudenziale, si è ancora lontani da una disciplina unitaria per la tutela del patrimonio informativo dell’impresa. Come rilevato in premessa, il pregio della sentenza in commento è stato certamente quello di fornire finalmente una veste “materiale” al file e quindi tutelare anche tale bene da condotte illecitamente appropriative. D’altra parte, però, l’assenza di una tutela da apprensioni informative, da una parte, e l’esclusione di una responsabilità amministrativa da reato per l’ente, dall’altra, impongono di coordinare tale disciplina con le ulteriori fattispecie analizzate; con il rischio che, a seconda della effettiva contestazione mossa, potranno aprirsi vuoti di tutela o duplicazioni sanzionatorie. In tale ottica, per garantire una effettiva tutela alle informazioni aziendali, occorre agire in via preventiva in una duplice direzione. Da una parte, al fine di evitare l’apprensione, finanche massiva, di files aziendali, occorre implementare sistemi di sicurezza informatica, che limitino l’accesso ai medesimi solo ad un ristretto e ben determinato numero di soggetti così come monitorare ogni accesso, download, inoltro o anche stampa di tali documenti informatici, in conformità con le disposizioni privacy e del diritto del lavoro. Dall’altra parte, per una tutela efficace dei segreti commerciali dell’impresa occorre adottare nuove procedure
(30) Amati, Infedeltà a seguito di dazione o promessa di utilità, in Reati societari, Torino, 2005, 441.
496
DIRITTO DI INTERNET N. 3/2020
(ovvero implementare nelle procedure esistenti una serie di regole) di gestione di queste informazioni idonee a mantenerne il carattere riservato. Oltre a consentire l’accesso alla protezione prevista dagli artt. 98 e 99 c.p.i., queste modalità organizzative hanno una funzione general-preventiva, perché divulgando i valori della riservatezza aziendale, stimolano l’adozione spontanea di comportamenti virtuosi, ed aiutano a prevenire fuoriuscite casuali dei “trade secrets”. Analogamente, soprattutto in ambiti nei quali non sono di sicura applicabilità le norme civili e/o penali in tema di rivelazione dei segreti dei segreti (si pensi ad esempio al c.d. reverse engineering (31)), un importante strumento di tutela risulta essere la previsione nei contratti con dipendenti o collaboratori esterni di specifiche clausole di confidenzialità, c.d. non disclosure agreements: in tal modo, in primo luogo, sarebbe prevista una obbligazione contrattuale di riservatezza a carico delle persone che sottoscrivono il contratto e, in secondo luogo, si preserverebbe il carattere riservato delle informazioni ai fini della loro protezione in sede civile e penale.
(31) Per reverse engineering si intende l’analisi delle funzioni, degli impieghi, della collocazione, dell’aspetto progettuale, geometrico e materiale di un manufatto o di un oggetto che è stato rinvenuto. Il fine può essere quello di produrre un altro oggetto che abbia un funzionamento analogo o migliore, o più adatto al contesto in cui ci si trova, oppure, quello di tentare di realizzare un secondo oggetto in grado di interfacciarsi con l’originale. Si veda sul punto; De Luca - Nardini, Dietro le quinte. Tecniche d’avanguardia nella progettazione contemporanea, Universale di architettura, Ebook, 2003, 135. Si veda, inoltre, sul punto Trib. Milano, 2015, sent. n. 3229.
GIURISPRUDENZA PENALE
Chat e video-chat: quando la diffamazione è on line? Corte di Cassazione; sezione V penale; sentenza 31 marzo 2020, n. 10905; Pres. Palla – Rel. Riccardi – P.G. Epidendio Non perfeziona il delitto di diffamazione la condotta di chi, comunicando con video chat all’interno di un gruppo composto da un numero determinato di persone, pronuncia espressioni offensive direttamente all’indirizzo della persona offesa.
RITENUTO IN FATTO 1. Con sentenza emessa il 28/03/2019 la Corte di Appello di Milano ha confermato la sentenza del Tribunale di Monza del 31/10/2016, che aveva condannato S.F. alla pena di € 600,00 di multa per il reato di cui all’art. 595 cod. pen., per avere offeso S.M., pubblicando commenti e giudizi lesivi della sua reputazione su Facebook, comunicando con video chat, con modalità accessibili ad un numero indeterminato di persone. 2. Avverso tale sentenza ha proposto ricorso per cassazione il difensore di S.F., Avv. P.A.M., deducendo due motivi di ricorso, qui enunciati, ai sensi dell’art. 173 disp. att. cod. proc. pen., nei limiti strettamente necessari per la motivazione. 2.1. Violazione di legge in relazione all’art. 595 cod. pen., per avere ritenuto sussistente il reato di diffamazione, anziché la fattispecie di ingiuria: deduce che gli insulti sono stati rivolti attraverso una chat vocale sulla piattaforma “Google Hangouts”, diversa dalle altre piattaforme chat digitali, che sono ‘leggibili’ anche da più persone; in tal caso, il destinatario dei messaggi era solo la persona offesa e la video chat aveva carattere temporaneo, sicché non verrebbe in rilievo il precedente di Sez. 5, n. 7904/2019, che riguardava una chat scritta (WhatsApp) in cui il messaggio offensivo può essere visionato anche da altri utenti; nel caso in esame, la chat aveva natura di conversazione vocale, e non rileverebbe che all’ascolto vi fossero altri utenti. 2.2. Vizio di motivazione con riferimento alla valorizzazione della presenza di terzi ascoltatori: i due testi D.M. e T. non hanno partecipato alla conversazione in diret-
ta, ma hanno dichiarato di avere visto il video della chat tramite Youtube, condotta per la quale l’imputato è stato assolto. CONSIDERATO IN DIRITTO 1. Il ricorso è fondato. 2. E’, invero, stato accertato che le espressioni offensive sono state pronunciate dall’imputato mediante comunicazione telematica diretta alla persona offesa, ed alla presenza, altresì, di altre persone ‘invitate’ nella chat vocale. Ciò posto, va rammentato che l’elemento distintivo tra ingiuria e diffamazione è costituito dal fatto che nell’ingiuria la comunicazione, con qualsiasi mezzo realizzata, è diretta all’offeso, mentre nella diffamazione l’offeso resta estraneo alla comunicazione offensiva intercorsa con più persone e non è posto in condizione di interloquire con l’offensore (Sez. 5, n. 10313 del 17/01/2019, Vicaretti, Rv. 276502). 3. Ne consegue che il fatto, come accertato dalla sentenza impugnata, deve essere qualificato come ingiuria aggravata dalla presenza di più persone, ai sensi dell’art. 594, p.c., c.p., che, ai sensi dell’art. 1, comma 1, lett. C), d.lgs. 15.1.2016 n. 7, è stato depenalizzato; la sentenza impugnata va dunque annullata senza rinvio, perché il fatto, così riqualificato, non è più previsto dalla legge come reato. P.Q.M. Annulla senza rinvio la sentenza impugnata perché, qualificato il fatto ai sensi dell’art. 594, ultimo comma, c.p., lo stesso non è previsto dalla legge come reato.
DIRITTO DI INTERNET N. 3/2020
497
GIURISPRUDENZA PENALE
IL COMMENTO
di Francesco Giuseppe Catullo Sommario: 1. Attualità del discrimine tra diffamazione e ingiuria nell’ambito delle comunicazioni veicolate tramite chat; 2. Casi e questioni trattati dalla giurisprudenza; 3. Criteri per risolvere le ipotesi ancora non affrontate dalla Corte di cassazione. L’autore ha affrontato il fenomeno delle offese all’onore e alla reputazione nell’ambito delle comunicazioni veicolate tramite i portali telematici di messaggistica istantanea. Dopo un’analisi delle conclusioni rassegnate nella sentenza in commento e circoscritte all’ambito delle offese propalate durante una video conferenza, vengono ipotizzate delle differenti soluzioni in merito alle alternative modalità di lesione alla reputazione che possono avvenire su chat scritte come WhatsApp o su chat vocali come Google Hangouts. The Author addresses the phenomenon of honor and reputation offenses in the field of communications conveyed through instant messaging telematic portals. After an analysis of the conclusions of the judgment and limited to the scope of the offenses propagated during a video conference, different solutions are hypothesized regarding the alternative ways of damage to reputation that can occur on written chats such as WhatsApp or voice chats such as Google Hangouts.
1. Attualità del discrimine tra diffamazione e ingiuria nell’ambito delle comunicazioni veicolate tramite chat
Il discrimine tra il delitto di diffamazione e l’illecito di ingiuria, ormai depenalizzato, resta un tema attuale grazie alle variegate forme attraverso cui la tecnologia offre nuovi canali per comunicare (1). La prima fattispecie si concreta in una manifestazione del pensiero che si perfeziona nel momento in cui le espressioni offensive vengono da altri percepite. Essa, oltre ad offendere l’onore ed il decoro della vittima alla stessa stregua dell’illecito d’ingiuria (depenalizzato dall’art. 1 del D.Lgs 15 gennaio 2016 n. 7), incide anche sulla reputazione della persona offesa avvenendo la propalazione della notizia in un contesto pubblico e in assenza di quest’ultima (2). Il reato d’ingiuria, invece, era finalizzato ad offendere solo l’onore ed il decoro dell’individuo, presupponendo un rapporto comunicativo diretto tra aggressore e vittima e prevedendo un aggravamento di pena nel caso in cui l’offesa fosse commessa in presenza di più persone. Il più grave disvalore della fattispecie di diffamazione rispetto a quella depenalizzata d’ingiuria risiede nella maggior insidiosità della modalità lesiva diffamatoria che è idonea a compromettere la competenza sociale della vittima, approfittando della sua assenza e di conseguenza della sua minorata capacità reattiva.
(1) Vedi Pioletti, Ingiuria, diffamazione e reti sociali, in Giur. merito, 2012, 2652 ss. (2) Scopinaro, Internet e delitti contro l’onore, in Riv. it. dir. proc. pen., 2000, 621, che menzionando la dottrina anglosassone, sottolinea come la comunicazione diffamatoria “nuoce alla reputazione di un soggetto in modo da ridurre la stima di cui gode nella comunità o da scoraggiare terzi dall’associarsi o mettersi in affari con lui”.
498
DIRITTO DI INTERNET N. 3/2020
La predetta differenza, finalizzata a discernere il penalmente rilevante dall’irrilevante, consta anche nelle comunicazioni veicolate tramite chat. A tal fine si possono distinguere le piattaforme tecnologiche che, nell’ambito di un gruppo determinato di partecipanti, consentono di comunicare tramite messaggistica istantanea come WhatsApp da quelle, come Google Hangouts, che permettono di interagire per mezzo di video conferenze. Tali servizi di comunicazione, denominati rispettivamente chat e video-chat, hanno in comune di consentire ai facenti parte della rispettiva community di dialogare tra loro in tempo reale.
2. Casi e questioni trattati dalla giurisprudenza
Nella sentenza in commento, il soggetto agente – durante una comunicazione vocale telematica (video-chat) con la vittima e alla presenza di altre persone - ha pronunciato espressioni offensive ai danni della reputazione della prima. La Corte di cassazione, con una stringata motivazione, ha ritenuto penalmente irrilevante il fatto in quanto la comunicazione incriminata si sarebbe concretata in un’ingiuria essendo stata intrattenuta direttamente tra il soggetto agente e la persona offesa, consentendo a quest’ultima – durante ogni fase dello scambio - di poter intervenire. Per rassegnare la citata conclusione, il Giudice di legittimità si è riportato al proprio precedente N. 10313/2019 (3).
(3) Cass. 17 gennaio 2019, n. 10313, che ha affermato “che l’elemento di distinzione fra i reati di ingiuria e di diffamazione è costituito dal fatto che, nell’ingiuria, la comunicazione (verbale o scritta) è rivolta all’offeso, la cui presenza, infatti, è elemento costitutivo del reato, anche nell’ipotesi aggravata di cui all’art. 594 c.p., comma 4, mentre, la diffamazione è caratterizzata dalla comunicazione con persone diverse dall’offeso, il quale non è presente al compimento dell’atto lesivo della sua reputazione”.
GIURISPRUDENZA PENALE Quasi un anno prima la sentenza in disamina, sempre la quinta Sezione della Corte di cassazione con la decisione N. 7904/2019 (4) (pronunciata nella stessa udienza e dal medesimo collegio della sentenza N. 10313/2019 citata nel provvedimento annotato) si era espressa su un altro fatto offensivo per l’onore e la reputazione che, questa volta, aveva trovato consumazione durante una chat scritta presso l’applicazione di messaggistica istantanea WhatsApp. In questo episodio, la Corte aveva invece ravvisato gli estremi del reato di cui all’art. 595 c.p. in quanto la comunicazione offensiva, che si era concretata in degli scritti, pur essendosi verificata in un gruppo di cui faceva parte la persona offesa, non era avvenuta direttamente tra offensore e vittima, bensì tra il primo e altri partecipanti alla community diversi dalla seconda. Nell’occasione, la Cassazione si era riportata ad una sua decisione N. 44980 del 2012 (5) che escludeva l’ipotesi di ingiuria aggravata ex art. 594, comma 4, c.p. per essere stata compiuta ‘in presenza di più persone’, nel caso in cui la comunicazione lesiva avesse trovato collocamento in una dimensione più ampia rispetto a quella interpersonale tra offensore e vittima. Da una lettura combinata della sentenza annotata e quella N. 7904/2019 con i rispettivi rimandi ai precedenti sopra citati, si delinea un quadro giurisprudenziale che, con riferimento alle comunicazioni scritte o vocali istantanee che avvengono nell’ambito di gruppi di persone su piattaforme telematiche, consente all’interprete di ravvisare gli estremi del delitto di diffamazione quando si verificano le seguenti condizioni: 1. la persona offesa, pur facendo parte di una community, rimane estranea alla comunicazione offensiva intercorsa tra altri partecipanti al medesimo gruppo (Cass. n. 10905/2020 in commento che si riporta a Cass. n. 10313/2019);
(4) Cass. 17 gennaio 2019, n. 7904, in Dir. gius. 22 febbraio 2019, che in merito ad un offesa scritta propalata tramite la piattaforma di messagistica WhatsApp ha sostenuto che “sebbene il mezzo di trasmissione/ comunicazione adoperato (e-mail o internet) consenta, in astratto, (anche) al soggetto vilipeso di percepire direttamente l’offesa, il fatto che il messaggio sia diretto ad una cerchia di fruitori – i quali, peraltro, potrebbero venirne a conoscenza in tempi diversi -, fa sì che l’addebito lesivo si collochi in una dimensione ben più ampia di quella interpersonale tra offensore ed offeso”. (5) Cass. 16 ottobre 2012, n. 44980, in Cass. pen. 2013, 3522, secondo cui “…l’eventualità che tra i fruitori del messaggio vi sia anche la persona nei cui confronti vengono formulate le espressioni offensive può indurre a ritenere che, in realtà, venga, in tale maniera, integrato il delitto di ingiuria (magari aggravata ai sensi dell’art. 594 c.p., comma 4), piuttosto che quello di diffamazione. Infatti il mezzo di trasmissione – comunicazione adoperato (appunto internet), certamente consente, in astratto, (anche) al soggetto vilipeso di percepire direttamente l’offesa, ma il messaggio è diretto ad una cerchia talmente vasta di fruitori, che l’addebito lesivo si colloca in una dimensione ben più ampia di quella interpersonale tra offensore ed offeso”.
2. la persona offesa di cui al punto precedente non è posta nelle condizioni di interloquire con l’offensore per ribattere al pregiudizio subito (Cass. n. 10905/2020 in commento che si riporta a Cass. n. 10313/2019); 3. nel caso in cui l’addebito lesivo, pur raggiungendo contemporaneamente la persona offesa, si contestualizza in una dimensione ben più ampia di quella interpersonale tra offensore e vittima (Cass. n. 7904/2019 che si riporta a Cass. n. 44980/2012). Fissate le predette premesse, ad oggi constano le seguenti soluzioni per i seguenti casi: perfeziona il delitto di diffamazione la condotta di chi, in una chat di gruppo, comunicando per iscritto con interlocutori diversi dalla persona offesa lede la reputazione di quest’ultima; non è diffamazione ma ingiuria (fattispecie oggi irrilevante penalmente), la condotta di chi, durante una videoconferenza nell’ambito di un gruppo ristretto di persone, comunicando vocalmente e in maniera diretta con la persona offesa, vilipende quest’ultima.
3. Criteri per risolvere le ipotesi ancora non affrontate dalla Corte di cassazione
Le ipotesi di offesa all’onore e alla reputazione che possono verificarsi nell’ambito di servizi di messaggistica istantanea scritta o vocale, veicolati in gruppi composti da un numero determinato di partecipanti, sono più numerose rispetto a quelle risolte dal Giudice di legittimità con le argomentazioni sopra richiamate; a titolo esemplificativo si individuano i seguenti casi: a. l’offesa avviene in una chat scritta nell’ambito di un gruppo composto da poche persone e la comunicazione lesiva si instaura direttamente tra offensore e vittima; b. l’offesa avviene in una chat scritta nell’ambito di un gruppo composto da poche persone e la comunicazione lesiva per la reputazione si consuma ai danni del terzo che non partecipa allo scambio, ma risulta aver visionato i messaggi contestualmente alla loro propalazione; c. l’offesa avviene in una chat scritta nell’ambito di un gruppo composto da numerose persone e la comunicazione lesiva per la reputazione si instaura direttamente tra l’offensore e vittima; d. l’offesa avviene in una video conferenza nell’ambito di un gruppo composto da poche persone e la comunicazione lesiva per la reputazione si consuma ai danni del terzo che non partecipa allo scambio; e. l’offesa avviene in una video conferenza nell’ambito di un gruppo composto da numerose persone e la comunicazione lesiva per la reputazione si instaura direttamente tra l’offensore e persona offesa.
DIRITTO DI INTERNET N. 3/2020
499
GIURISPRUDENZA PENALE f. l’offesa avviene in una video conferenza nell’ambito di un gruppo composto da numerose persone e la comunicazione lesiva per la reputazione si consuma ai danni del terzo che non partecipa allo scambio. Per la soluzione delle menzionate ipotesi, l’interprete dovrà fare riferimento sia alle argomentazioni del Giudice di legittimità richiamate nel paragrafo precedente, sia alla natura del mezzo utilizzato dal soggetto agente per comunicare (6). In ordine logico, prima di constatare la presenza o meno della persona offesa alla comunicazione incriminata che costituisce il principale requisito che differenzia il delitto di diffamazione dall’illecito di ingiuria, sarà opportuno che venga verificata l’ampiezza della community in cui il messaggio viene propalato. Nel caso in cui la comunicazione lesiva risultasse diretta ad una vasta cerchia di fruitori, il riscontro della presenza o meno della persona offesa diventerebbe irrilevante (Cass. n. 7904/2019 e Cass. n. 44980/2012). Il contenuto veicolato tramite chat all’interno di gruppi segue delle regole diverse rispetto alle comunicazioni diffuse su social network (7) o su siti internet accessibili a chiunque. In questi due ultimi casi, le pubblicazioni sono dirette ad un numero indeterminato di persone (8) alla stregua di quelle diffuse dai mass media e il rapporto comunicativo si perfeziona al momento della “messa a disposizione” dei contenuti, prescindendo dall’effettiva percezione o lettura di questi da parte dei destinatari o interessati (9). È in quell’istante, infatti, che si ritiene (6) Cass. 17 novembre 2000, n. 4741, che con riferimento alla diffamazione c.d. telematica ha operato un distinguo tra i mezzi di comunicazione che possono raggiungere un numero indeterminato di destinatari (siti web, blog, forum) e i mezzi indirizzati a soggetti specifici (e-mail e chat private), per poi affermare che “la particolare diffusività del mezzo usato per propagare il messaggio denigratorio rende l’agente meritevole di un più severo trattamento penale”. (7) Cass. 3 maggio 2018, n. 40083, secondo cui è da presumersi la sussistenza del requisito della comunicazione con più persone qualora l’espressione offensiva sia inserita in un supporto per sua natura destinato ad essere visionato da più persone: “…non vi è dubbio che la funzione principale della pubblicazione di un messaggio in una bacheca o anche in un profilo Facebook sia la ‘condivisione’ di esso con gruppi più o meno ampi di persone, le quali hanno accesso a detto profilo, che altrimenti non avrebbe ragione di definirsi social”. (8) Cfr. Crescioli, Il vilipendio commesso su Facebook tra vecchie e nuove problematiche, in questa Rivista, 2019, 79, che condivide l’indirizzo dottrinario secondo cui non si può presumere la natura di “mezzo di pubblicità” attribuibile alla bacheca Facebook, nella misura in cui il profilo personale e i contenuti ivi pubblicati risultano visualizzabili da un numero di destinatari che per quanto ampio risulta sempre previamente determinato o determinabile. Lasalvia, La diffamazione via web nell’epoca dei social network, in Cybercrime, diretto da Cadoppi Canestrari, Manna e Papa, Torino, 2019, 346. (9) Cfr. Melzi d’Eril, In tema di diffamazione via Facebook, in <http:// www.dirittopenalecontemporaneo.it>, 29 gennaio 2013; Turchetti, Diffamazione su Facebook: comunicazione con più persone, in <http://www.dirittopenalecontemporaneo.it>, 8 maggio 2014.
500
DIRITTO DI INTERNET N. 3/2020
perfezionato anche il reato di diffamazione nel caso in cui il messaggio diffuso risultasse offensivo per la reputazione di un terzo (10). Diversamente, i gruppi costituiti per comunicare su portali come WhatsApp o per partecipare ad una conference call hanno la caratteristica di essere costituiti da un numero determinato di partecipanti. In questi contesti, ciò che rileva per valutare l’eventuale pregiudizio alla reputazione, è l’ampiezza della community di riferimento. Sarà compito del giudice andare a verificare, di volta in volta, se il numero di partecipanti alle chat scritte o vocali sia così rilevante da ritenerle più ampie rispetto alla dimensione interpersonale aggressore-vittima. Nel caso in cui dovesse risultare importante l’estensione della community, diventerà superfluo per il giudicante impiegare ulteriori risorse per accertare anche la presenza della persona offesa al momento in cui l’espressione offensiva risulti essere stata diffusa. Nell’ipotesi di diffusione di comunicazioni lesive in gruppi di rilevante partecipazione, l’offesa alla reputazione è in re ipsa, essendo stata l’espressione incriminata pronunciata in un contesto atto a compromettere la competenza sociale della vittima. Di conseguenza, ritornando alle ipotesi formulate sopra, saranno da ritenere diffamatorie quelle indicate sub c), e) e f), in quanto tutte verificatesi nell’ambito di gruppi composti da un numero rilevante di partecipanti. Se, diversamente, dovesse risultare che l’offesa sia avvenuta nell’ambito di una ristretta community, diventa decisivo riscontrare la presenza o meno della persona offesa. La menzionata prova sarà facilmente raggiunta nel caso in cui la comunicazione risultasse avvenuta direttamente tra agente e vittima. In questo caso, rientrante nell’ipotesi indicata sub a), non si perfeziona la fattispecie di diffamazione ma l’illecito civile di ingiuria. Più problematiche restano, invece, le ipotesi individuate alle lettere b) e d), in cui l’offesa avviene in un gruppo ristretto di persone ma non durante uno scambio diretto tra soggetto agente e vilipeso. Per risolverle, potrà essere dirimente fare affidamento alle logiche sottese allo strumento utilizzato per comunicare, differenziando i casi in cui la comunicazione avviene tramite chat scritta anziché vocale. Con riferimento alla prima, è più problematico provare la presenza in chat della persona offesa, nel caso in cui questa non risultasse la destinataria diretta della comunicazione rivelatisi offensiva per la reputazione. Il discrimine tra l’illecito di ingiuria e quello di diffamazione dipenderà dalla prova che verrà raggiunta in merito al momento in cui l’offesa avrà raggiunto la vittima. Nel (10) Cass. 22 gennaio 2014, n. 16712 che in tema di diffamazione a mezzo Facebook svaluta la circostanza del numero di persone che avrebbero letto la comunicazione offensiva.
GIURISPRUDENZA PENALE caso in cui risultasse da una testimonianza, dalla provata lettura del messaggio da parte della vittima o dal suo intervento in chat che quest’ultima ha percepito il contenuto offensivo contestualmente alla sua diffusione, allora potrebbe essere riconosciuta come presente al compimento del fatto, facendo venir meno i presupposti per la contestazione del delitto di cui all’art. 595 c.p.; diversamente, nel caso in cui dovesse risultare che i predetti messaggi hanno raggiunto la vittima a distanza di tempo rispetto alla loro propalazione, verrebbe meno il requisito della sua presenza e rileverebbero gli estremi del delitto di diffamazione. In merito alla chat vocale il discorso è inverso. In questo caso, il mezzo utilizzato per comunicare facilita l’accertamento della presenza della persona offesa durante la conversazione incriminata. Nelle video conferenze, le comunicazioni vocali avvengono alla presenza di tutti i partecipanti al gruppo a meno che non si constatasse che la vittima, nel preciso momento in cui viene diffusa l’espressione offensiva ai suoi danni, si fosse temporaneamente allontanata dal proprio dispositivo non percependo il fatto diffamatorio contemporaneamente alla sua manifestazione. La differenza nell’accertamento di una diffamazione consumatasi nell’ambito di una chat scritta o di una vocale si concreterebbe in una diversa distribuzione dell’onere della prova in merito alla circostanza della presenza della persona offesa. Mentre nella chat scritta, per escludere i presupposti del fatto diffamatorio, sarà interesse della difesa provare la presenza della persona offesa alla comunicazione; nella chat vocale, graverà sull’accusa l’onere di fornire la prova che la vittima si sia allontanata dal dispositivo nel preciso momento in cui l’espressione offensiva veniva trasmessa.
DIRITTO DI INTERNET N. 3/2020
501
GIURISPRUDENZA PENALE
Lo screenshot quale prova documentale: regole acquisitive e garanzie di affidabilità Corte di Cassazione; sezione II penale; sentenza 2 marzo 2020, n. 8332; Pres. Ramacci; Rel. Liberati; P.M. Barberini. Non vi è alcuna illegittimità nella realizzazione di una fotografia dello schermo di un telefono cellulare, sul quale compaiano messaggi sms, allo scopo di acquisirne la documentazione, non essendo imposto dalla legge alcun adempimento specifico per il compimento di tale attività, che consiste, essenzialmente, nella realizzazione di una fotografia, con la conseguente legittimità della sua acquisizione.
…Omissis… Ritenuto in fatto 1. Con sentenza del 31 gennaio 2019 la Corte d’appello di Brescia, provvedendo sulla impugnazione proposta dall’imputato nei confronti della sentenza del 19 ottobre 2017 del Giudice dell’udienza preliminare del Tribunale di Bergamo, con cui, a seguito di giudizio abbreviato, R.G. era stato dichiarato responsabile del reato di cui all’art. 609 bis c.p. e art. 609 ter c.p., comma 1, n. 1, (ascrittogli per avere, con violenza, costretto una minore di quattordici anni a subire atti sessuali), ha ridotto la somma liquidata a favore della parte civile per le spese processuali dalla stessa sostenute nel giudizio di primo grado, confermando nel resto la sentenza impugnata e condannando l’imputato a rifondere alla parte civile anche le spese processuali del giudizio di appello. 2. Avverso tale sentenza l’imputato ha proposto ricorso per cassazione, affidato a quattro motivi. 2.1. Con il primo motivo ha lamentato la mancanza assoluta della motivazione riguardo alla propria eccezione di inutilizzabilità di una prova acquisita irritualmente, costituita dai messaggi sms pervenuti sul telefono cellulare della madre della persona offesa e solo fotografati, con la conseguente incertezza in ordine alla loro provenienza, sa per la mancata disposizione di una perizia informatica volta ad accertarne il mittente, sia a causa della mancanza di qualsiasi elemento idoneo a collegare l’utenza telefonica dalla quale erano stati inviati, registrata a un utente pugliese, e il ricorrente, residente a Bergamo. 2.2. …Omissis... 2.3. …Omissis… 2.4. …Omissis… Considerato in diritto …Omissis... 2. Il primo motivo, mediante il quale è stata lamentata la mancanza della motivazione in ordine alla eccezione di inutilizzabilità di una prova che sarebbe stata irritualmente acquisita, costituita dalle fotografie dello
schermo del telefono cellulare della madre della persona offesa (sul quale erano pervenuti messaggi ritenuti provenienti dall’imputato, dimostrati da tali fotografie) è manifestamente infondato. Va, anzitutto, osservato che il ricorrente, pur prospettando l’illegittimità della acquisizione di detta prova, non ne ha illustrato il rilievo e l’incidenza nel complesso della struttura giustificativa della sentenza impugnata, con la conseguente carenza nella censura della necessaria specificità (estrinseca). Costituisce, infatti, principio consolidato nella giurisprudenza di legittimità quello secondo cui nell’ipotesi in cui con il ricorso per cassazione si lamenti l’inutilizzabilità di un elemento a carico, il motivo di impugnazione deve illustrare, a pena di inammissibilità per aspecificità, l’incidenza dell’eventuale eliminazione del predetto elemento ai fini della cosiddetta prova di resistenza, in quanto gli elementi di prova acquisiti illegittimamente diventano irrilevanti ed ininfluenti se, nonostante la loro espunzione, le residue risultanze risultino sufficienti a giustificare l’identico convincimento (cfr., ex plurimis, Sez. 2, n. 30271 del 11/05/2017, De Matteis, Rv. 270303; Sez. 2, n. 7986 del 18/11/2016, dep. 20/02/2017, La Gumina, Rv. 269218; Sez. 3, n. 3207 del 02/10/2014, dep. 23/01/2015, Calabrese, Rv. 262011; Sez. 6, n. 18764 del 05/02/2014, Barilari, Rv. 259452; Sez. 4, n. 48515 del 17/09/2013, Alberti, Rv. 258093). Nel caso di specie il ricorrente, pur avendo denunciato l’inutilizzabilità di dette fotografie, ha omesso di illustrare l’incidenza di tale elemento di prova (indebitamente acquisito secondo la prospettazione del ricorrente) sulla struttura argomentativa del provvedimento impugnato, nel quale è stato sottolineato quanto emergente da altri e concordanti elementi di prova, tra cui, soprattutto, le univoche dichiarazioni della persona offesa, che ha più volte ribadito il racconto dell’episodio in modo coerente, mantenendo ferma la descrizione della condotta dell’imputato, riferita alla madre non appena tornata
DIRITTO DI INTERNET N. 3/2020
503
GIURISPRUDENZA PENALE a casa, escludendo anche intenti calunniatori nei confronti dell’imputato, amico di famiglia da lunga data: tale argomenti non sono in alcun modo stati considerati nella illustrazione della censura, cosicché la stessa risulta inidonea a disarticolare la struttura argomentativa del provvedimento impugnando, privandolo, attraverso la sottrazione dell’elemento di prova ritenuto inutilizzabile, della sua efficacia giustificativa, che, invece, rimane intatta anche omettendo di considerarlo, stante l’efficacia e la valenza delle dichiarazioni della persona offesa, con la conseguente inammissibilità della censura. Essa, inoltre, è anche manifestamente infondata, non essendovi alcuna illegittimità nella realizzazione di una fotografia dello schermo di un telefono cellulare, sul quale compaiano messaggi sms, allo scopo di acquisirne la documentazione, non essendo imposto dalla legge alcun adempimento specifico per il compimento di tale attività, che consiste, sostanzialmente, nella realizzazione di una fotografia e che si caratterizza solamente per il suo oggetto, costituito, appunto, da uno schermo sul quale siano leggibili messaggi di testo, non essendovi alcuna differenza tra una tale fotografia e quella di qualsiasi altro oggetto, con la conseguente legittimità della sua acquisizione. La doglianza in ordine alla arbitrarietà della attribuzione all’imputato dei messaggi ricevuti dalla vittima, visi-
bili su tale schermo e fotografati, attiene, poi, agli accertamenti di fatto compiuti dai giudici di merito, non sindacabili in questa sede, posto che l’attribuzione di tali messaggi all’imputato è avvenuto in modo logico, sulla base del loro contenuto, in quanto con gli stessi l’imputato aveva chiesto ripetutamente alla madre della vittima di indicargli un prezzo per aver dato un bacio alla figlia, cosicché l’inferenza della loro provenienza dall’imputato risulta pienamente logica e, comunque, non censurabile sul piano delle valutazioni di merito. Ne consegue, in definitiva, l’inammissibilità della doglianza, a causa della sua genericità e manifesta infondatezza. 3. …Omissis … 4. …Omissis… 5. …Omissis… 6. …Omissis… P.Q.M. …omissis… annulla la sentenza impugnata limitatamente alla configurabilità della ipotesi attenuata di cui all’art. 609-bis c.p., comma 3, e rinvia per nuovo giudizio sul punto ad altra sezione della Corte d’appello di Brescia. Dichiara inammissibile il ricorso nel resto. Così deciso in Roma, il 6 novembre 2019. Depositato in Cancelleria il 2 marzo 2020.
IL COMMENTO di Giulia Fiorelli
Sommario: 1. Premessa: i termini della questione – 2. Messaggistica di testo e prova documentale – 3. La tutela della genuinità del dato informatico: quale controllo sull’affidabilità dello screenshot? Con la sentenza in epigrafe, la Corte di Cassazione torna a pronunciarsi sulle modalità acquisitive della conversazione intercorsa tramite SMS, apparsi sul display del dispositivo di telefonia mobile. L’acquisizione, come prova documentale, della riproduzione fotografica dello schermo del cellulare e la sua utilizzabilità ai fini decisori tradiscono, all’evidenza, un approccio poco attento alle peculiarità che contraddistinguono l’incorporamento del dato informatico nella fotografia prodotta in giudizio. Invero, le caratteristiche proprie del metodo di incorporamento digitale impongono l’adozione di maggiori cautele nella fase di acquisizione, ammissione e valutazione della prova, atte a preservare la conformità della riproduzione fotografica alla matrice digitale e la conseguente genuinità della rappresentazione. Once again, the Court of Cassation is called to deal with the gathering of conversation held on mobile devices by SMS. The gathering, as documentary evidence, of the photographic reproduction of the mobile phone screen, and its evidentiary use, reveals a careless approach to the peculiarities of the incorporation of the digital data into the photograph. Indeed, the specific characteristics of the digital incorporation method require the adoption of greater cautions in the gathering, admission and evaluation of the evidence, in order to preserve the conformity of the screenshot with the digital matrix and the consequent genuineness of the representation.
1. Premessa: i termini della questione
Benché in prevalenza sviluppata sul versante degli aspetti di diritto penale sostanziale, la pronuncia in commento offre lo spunto per interrogarsi, ancora una volta,
504
DIRITTO DI INTERNET N. 3/2020
sulla disciplina processuale applicabile alle modalità di acquisizione della messaggistica telefonica, estrapolata dalla memoria di un dispositivo mobile mediante ripro-
GIURISPRUDENZA PENALE duzione fotografica (1), fornendo l’occasione per tornare a riflettere, più in generale, sul difficile adeguamento delle categorie probatorie tradizionali allo sviluppo tecnologico digitale (2). A sollecitare l’attenzione, nel caso sottoposto al vaglio della Suprema Corte, è, in particolare, l’acquisizione – e la conseguente spendibilità ai fini decisori – dell’immagine dello schermo di un apparecchio di telefonia mobile (screenshot) (3), che riproduce il contenuto di una conversazione intercorsa tramite SMS (4). Nella vicenda oggetto della decisione in esame, il ricorrente, a seguito di giudizio abbreviato, era stato condannato, con sentenza successivamente confermata in sede d’appello, per il reato di violenza sessuale, di cui all’art. 609-bis c.p., aggravato ai sensi dell’art. 609-ter, comma 1, n. 1, c.p., ascrittogli per avere, con violenza, costretto una minore di quattordici anni a subire atti sessuali.
(1) Si sono interrogati, di recente, sulla natura delle comunicazioni (via SMS o tramite la piattaforma Whatsapp) contenute nella memoria del telefono cellulare, e, in particolare, sugli aspetti problematici in ordine alla loro acquisizione all’interno del procedimento penale, Annunziata, La messaggistica WhatsApp è prova documentale, in questa Rivista, nella versione on line, 17 aprile 2019, < https://dirittodiinternet.it/la-messaggistica-whatsapp-prova-documentale/ > ; Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust., 2018, n. 3, 532 ss.; Di Muzio, Digital forensics: la rilevanza probatoria delle conversazioni su whatsapp, in Ilpenalista.it, 2 febbraio 2018; Nocera, L’acquisizione delle chat whatsapp e messenger: intercettazione, perquisizione o sequestro?, in Ilpenalista.it, 12 febbraio 2018; Renzetti, Acquisizione dei dati segnalati sul display del cellulare: il rischio di una violazione dell’art. 15 Cost., in Cass. pen., 2006, 541 ss.; Scaccianoce, Approvvigionamento di flussi e dati tramite il dispositivo telefonico altrui, in Scalfati (a cura di), Le indagini atipiche, Torino, 2019, 101 ss.; e, da ultimo, con riferimento al servizio di messaggistica istantanea Telegram, Pittiruti, L’impiego processuale dei messaggi inviati mediante l’applicazione Telegram tra “scorciatoie” probatorie e massime di esperienza informatiche, in questa Rivista, 2/20, 115 ss. (2) Per una più ampia riflessione sulle implicazioni sistematiche provocate dalla mutazione di paradigma dei tradizionali strumenti probatori e sulla conseguente rimodulazione delle dinamiche processuali, si rinvia, per tutti, a Lupária, La disciplina processuale e le garanzie difensive, in Lupária-Ziccardi (a cura di), Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Milano, 2007, 127 ss.; Id., Computer crimes e procedimento penale, in Garuti (a cura di), Modelli differenziati di accertamento, in Trattato di procedura penale, diretto da Spangher, Vol. VII, Tomo I, Torino, 2011, 369 ss.; Id., La ratifica della Convenzione Cybercrime del Consiglio d’Europa. I profili processuali, in Dir. pen. proc., 2008, 717, ponendo particolare attenzione proprio sulle «difficoltà ermeneutiche insite nell’utilizzo dei tradizionali istituti processuali per l’apprensione del dato digitale». Ad evidenziare, altresì, il disagio avvertito dai processualisti di fronte alle prove digitali, essendo «abituati a pensare alle prove come a degli oggetti fisici, dotati di un’evidente corporeità», Daniele, La prova digitale nel processo penale, in Riv. dir. proc., 2011, 284. (3) Per “screenshot” deve intendersi la schermata o la porzione di un’immagine copiata dallo schermo del computer o di altro dispositivo in uso e salvata tramite un apposito programma. (4) Come noto, gli SMS (Short Message Service) rappresentano un servizio di telefonia mobile funzionale ad inviare brevi messaggi di testo da un apparecchio di telefonia mobile ad un altro.
Avverso la sentenza della Corte d’appello, la difesa dell’imputato esperiva ricorso per cassazione, deducendo, tra l’altro, l’inutilizzabilità dei dati informatici, acquisiti mediante la riproduzione fotografica della conversazione intercorsa tramite SMS apparsi sul display del dispositivo di telefonia mobile, appartenente alla madre della persona offesa. A sostegno della doglianza difensiva, il ricorrente contestava l’acquisizione contra legem dei dati predetti, lamentando, a fronte dell’incertezza in ordine alla loro provenienza, la mancata esecuzione di una perizia informatica atta ad individuarne il mittente e l’utenza telefonica da cui sarebbero provenute le frasi incriminate. Nel rigettare la censura proposta, la Suprema Corte ha escluso qualsivoglia profilo di illegittimità nella riproduzione fotografica della schermata di un apparecchio di telefonia mobile, sul quale siano comparsi brevi messaggi di testo, «non essendovi alcuna differenza tra una tale fotografia e quella di qualsiasi altro oggetto». Al pari di qualunque fotografia, quindi, anche l’istantanea della schermata di una conversazione intrattenuta mediante SMS rivestirebbe – ad avviso dei giudici di legittimità – natura di prova documentale, la cui acquisizione al processo non richiederebbe alcun adempimento specifico. La conclusione ora rassegnata, così nitida quanto sbrigativa, necessita, tuttavia, di una più meditata riflessione. Due, in particolare, i profili di interesse che meritano di essere approfonditi nella sentenza in esame: l’inquadramento dogmatico della riproduzione fotografica di una conversazione intercorsa tramite SMS e le modalità di acquisizione delle informazioni digitali, incorporate nella fotografia, atte a garantire genuinità ed autenticità dei dati appresi.
2. Messaggistica di testo e prova documentale
Prima di soffermare l’attenzione sulle modalità di apprensione della prova in esame, giova verificare la correttezza dell’inquadramento dogmatico che la Corte di cassazione ha inteso fornire alla riproduzione fotografica di SMS apparsi sul display di un dispositivo di telefonia mobile. Pur nella sua laconicità, la sentenza in epigrafe ha riconosciuto a tale istantanea natura di prova documentale, alla stessa stregua di una fotografia tradizionale, il cui oggetto, costituito da «uno schermo sul quale siano leggibili brevi messaggi di testo», non presenterebbe – ad avviso dei giudici di legittimità – «alcuna differenza» rispetto ad un «qualsiasi altro oggetto». Sicché, al pari di qualunque altro contenuto rappresentativo, lo schermo dell’apparecchio cellulare e, conseguentemente, i messaggi di testo ivi contenuti dovrebbero ritenersi legittimamente acquisiti con una qualsiasi modalità atta alla raccolta del dato, inclusa la riproduzione fotografica.
DIRITTO DI INTERNET N. 3/2020
505
GIURISPRUDENZA PENALE Una simile impostazione, va detto fin da subito, non convince pienamente, in quanto sembra confondere alcuni degli aspetti essenziali che contribuiscono a dare consistenza al concetto di “documento”, trascurando, altresì, le peculiari modalità attraverso cui la rappresentazione di un fatto (il contenuto del pensiero espresso dagli SMS apparsi sul display) viene fissata sulla base materiale (presumibilmente la stampa cartacea della riproduzione fotografica). Il punto fondamentale di partenza, da cui occorre muovere per sviluppare una riflessione al riguardo, non può che risiedere, allora, nella necessità di delimitare esattamente l’ambito contenutistico dell’art. 234 c.p.p. Come noto, la definizione accolta nell’articolo appena richiamato individua quale “prova documentale” (5) qualsivoglia entità materiale idonea a rappresentare fatti, persone o cose, mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo. La scelta del legislatore del 1988 di formulare una nozione volutamente ampia di prova documentale palesa l’intenzione di riconoscere attitudine rappresentativa, non solo allo scritto, ma, altresì, alla fotografia, alla cinematografia, alla fonografia o a qualsiasi altro mezzo (6). Scelta rivelatasi, poi, «lungimirante» (7) in quanto ha permesso, nel tempo, di adattare la formula codicistica ad ogni possibile sviluppo tecnologico. Il carattere di residualità che connota l’espressione «qualsiasi altro mezzo» consente, infatti, di estendere la nozione di “documento” ad ogni possibile base rappresentativa che il progresso tecnologico possa offrire, anche in futuro,
(5) Sulla definizione di “prova documentale” accolta nel codice di rito, si rinvia, senza alcuna pretesa di completezza, a Calamandrei, La prova documentale, Padova, 1997, 10, e in particolare, Id., Premesse definitorie e classificazioni in tema di prova documentale, in Giust. pen., 1992, III, c. 76; Cantone, La prova documentale, Milano, 2004, 9; Kalb, Il documento nel sistema probatorio, Torino, 2000, 71; Laronga, La prova documentale nel processo penale, Torino, 2004, 10 ss.; Zacché, La prova documentale, Milano, 2012, 20 ss. (6) In questo modo, il legislatore ha inteso superare la posizione, rivestita dalla dottrina più tradizionale, «orientata a ricomprendere nel novero delle prove documentali i soli manufatti grafici», così Bruno, voce Prova documentale, in Dig. disc. pen., X, Torino, 1995, 391. Sicché, all’interno di un’unica categoria sono state ricondotte una serie di entità «del materiale più diverso: pietra, tavole cerate, carta, nastro magnetofonico, pellicola cinematografica o fotografica (in negativo o a stampa) e simili», così, Zacché, La prova documentale, cit., 8. (7) In questi termini, Rombi, La prova documentale, in Ferrua-Marzadu(a cura di), La prova penale, Torino, 2013, 575.
ri-Spangher
506
DIRITTO DI INTERNET N. 3/2020
quale supporto di un contenuto probatorio (8), purché idoneo a re-ad-praesentare (9). È sulla scorta di questa “apertura” che il dato digitale, rappresentato nel caso di specie dal contenuto degli SMS, viene tradizionalmente ricondotto all’interno della più ampia categoria della prova documentale. Il tema – com’è risaputo – non è nuovo alla giurisprudenza (10), che da tempo ha riconosciuto ai dati informatici, acquisiti ex post dalla memoria di un dispositivo mobile, «natura di documenti» ai sensi dell’art. 234 c.p.p. Ciò che differisce, però, rispetto al documento “tradizionale” e provoca significativi inconvenienti nella fase di acquisizione processuale è il metodo con cui tali dati vengono fissati su una base materiale (11). Invero, secondo un autorevole insegnamento dottrinale, l’immaterialità del metodo di incorporamento digitale permette ai dati informatici di conservare attitudine rappresentativa indipendentemente dai supporti fisici su cui vengono incorporati (12), i quali finiscono per (8) Evidenziano, a tale riguardo, il carattere “aperto” di questa categoria, Cantone, La prova documentale, cit., 14; Kalb, Il documento nel sistema probatorio, cit., 72; Maggio, voce Prova documentale. II) Diritto processuale penale, in Enc. giur., XXV, Roma, 1991, 2; Maffeo, voce Prova documentale. II) Diritto processuale penale, ivi, Agg., 2006, 1. (9) Così, Ferraris, Documentalità. Perché è necessario lasciar tracce, Roma, 2012, 24. (10) Cfr., da ultimo, Cass., Sez. VI, 12 novembre 2019, n. 1822, in questa Rivista, 2/2020, 113, con nota di Pittiruti, L’impiego processuale dei messaggi inviati mediante l’applicazione Telegram tra “scorciatoie” probatorie e massime di esperienza informatiche, per cui «i messaggi «whatsapp” e gli sms conservati nella memoria di un telefono cellulare hanno natura di documenti ai sensi dell’art. 234 c.p.p., sicché è legittima la loro acquisizione mediante mera riproduzione fotografica». Nello stesso senso, Cass., Sez. V, 21 novembre 2017, n. 1822, in Giur. it., 2018, 1718 ss., con nota di Minafra, Sul giusto metodo acquisitivo della corrispondenza informatica “statica”; nonché in Dir. inform., 2018, 285 ss., con nota di Vele, La natura delle comunicazioni contenute nella memoria del telefono cellulare nell’ambito del procedimento penale e in questa Rivista, 1/2019, 164 ss., con nota di Cerqua, I dubbi ancora irrisolti in tema di acquisizione della corrispondenza digitale. (11) Si richiama, a tal proposito, la struttura della “prova documentale” delineata da Tonini, Problemi insoluti della prova documentale, in Dir. pen. proc., 1996, 482, per cui il concetto di documento comprende quattro elementi: «1) il fatto rappresentato; 2) la rappresentazione; 3) l’incorporamento; 4) la base materiale». (12) È ben nota la posizione assunta da Tonini, Documento informatico e giusto processo, in Dir. pen. proc., 2009, 403, con riferimento alle peculiarità che caratterizzano il metodo di incorporamento “digitale” e lo distinguono da quello “analogico”. Secondo l’A., nell’incorporamento digitale, a differenza che nell’analogico, «la rappresentazione esiste indifferentemente dalla scelta del tipo di supporto fisico sul quale il dato informatico è incorporato». Sulla «immaterialità» del documento nel senso di «autonomia» del documento informatico rispetto al supporto, si rinvia, tra gli altri, a Masucci, Il documento informatico. Profili ricostruttivi della nozione e della disciplina, in Riv. dir. civ., 2004, I, 755; Pittiruti, Digital Evidence e procedimento penale, Torino, 2017, 24; Zacché, La prova documentale, cit., 35, il quale – richiamando Molinari, Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, 701 – ravvisa l’elemento distintivo tra le due specie documentali (analogica-digitale) nella «scorporabilità del contenuto rappresentativo dal supporto su cui è stato
GIURISPRUDENZA PENALE integrare dei meri «involucri esterni di per sé processualmente irrilevanti» (13). Questa impostazione consente di cogliere il nodo del problema su cui la decisione in commento non si è soffermata. Rispetto al testo del messaggio, la documentazione fotografica riveste natura esclusivamente riproduttiva della conversazione, a sua volta incorporata nella memoria dello smartphone che assolve la sola funzione di “contenitore”, in grado di restituire materialità al “contenuto” del documento informatico, attraverso un percorso scandito in tre passaggi fondamentali (14). Anzitutto, il contenuto informativo del dato digitale, rappresentato dal pensiero racchiuso negli SMS, richiede, per essere decifrabile, l’attività di intermediazione di un apposito apparato elettronico (15) che trasformi una sequenza numerica prestabilita di bit (16) in un testo intellegibile ed accessibile sullo schermo dell’apparecchio cellulare. originariamente registrato». Preferisce parlare di “dematerializzazione”, Alcaro, Riflessioni, vecchie e nuove in tema di beni immateriali. Il diritto d’autore nell’era digitale, in Rass. dir. civ., 2006, 951 – il cui pensiero è stato ripreso successivamente da Tonini, Il documento informatico: problematiche civilistiche e penalistiche a confronto, in Corr. giur., 2012, 434 – dal momento che il documento esiste indifferentemente dal supporto fisico sul quale è incorporato, anche se per la sua esistenza richiede comunque l’incorporamento su di una qualche base materia. (13) Così, Daniele, La prova digitale nel processo penale, cit., 285. Valorizza la natura “accidentale” del supporto, «pressoché privo di significato giuridico», Carnevale, Copia e restituzione di documenti informatici sequestrati: il problema dell’interesse ad impugnare, in Dir. pen. proc., 2009, 480, e, nello stesso senso, Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, in Cass. pen., 2010, 1525, ravvisando nel contenitore «un accessorio necessario per fissare una tantum il contenuto». (14) Per espliciti richiami alle tre fasi, lungo le quali si snoda il processo di incorporamento del dato informatico, cfr. Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, cit., 535, che qualifica, come «prova documentale di secondo livello», il supporto cartaceo contenente la trascrizione delle conversazioni effettuate tramite la piattaforma Whatsapp. Nello stesso senso, Pittiruti, L’impiego processuale dei messaggi inviati mediante l’applicazione Telegram tra “scorciatoie” probatorie e massime di esperienza informatiche, cit., 118, distingue tre fasi all’interno del processo di rappresentazione “indiretta” del dato digitale, rappresentato dai messaggi scambiati mediante l’applicazione Telegram. (15) A tal proposito, Rota, I documenti, in Taruffo (a cura di), La prova nel processo civile, in Cicu-Messineo-Mengoni (diretto da), Trattato di diritto civile e commerciale, Milano, 2012, 730, definisce, come «rappresentatività indiretta», la circostanza che il documento informatico, per svolgere la sua vera e propria funzione rappresentativa, necessiti dell’intermediazione dell’elaboratore. (16) Il Bit (dall’inglese binary digit) può essere definito come unità elementare dell’informazione trattata da un elaboratore ed esprime «uno dei due simboli del sistema numerico binario, classicamente chiamati zero (0) e uno (1): il bit rappresenta quindi, in realtà, l’unità di definizione di uno stato logico, la cui rappresentazione è costituita dai soli valori 0 e 1», così, Vele, voce Documento informatico (profili processuali penali), in Dig. disc. pen., X Agg., 2018, 139, nt. 6, al quale si rinvia per questa definizione.
Una volta fruibile sul display, l’immagine del dato digitale viene, poi, estrapolata mediante riproduzione fotografica. Ed è solo nel passaggio conclusivo del processo di incorporamento del dato informatico che l’istantanea della schermata del dispositivo mobile viene acquisita in giudizio mediante stampa. In altre parole, la copia – probabilmente cartacea – della riproduzione fotografica del display dell’apparecchio telefonico rappresenta l’ultima tappa del processo di incorporamento del contenuto informativo espresso dagli SMS, atteggiandosi come «la finale “materializzazione” del documento informatico» (17). Secondo la prospettiva privilegiata, quindi, l’estrapolazione del dato digitale sottoposto alla valutazione dell’organo giudicante si snoda lungo tre passaggi essenziali, ai quali devono corrispondere altrettanti livelli di attendibilità dei risultati probatori ottenuti. Invero, l’inafferrabilità dell’incorporamento digitale finisce per svelare tutta la fragilità – e la conseguente alterabilità – del documento informatico (18), il cui contenuto, facilmente trasferibile da un supporto fisico ad un altro, risulta fatalmente esposto ad un elevato rischio di manipolazione, dispersione ed alterazione. S’intuisce, allora, come la natura intimamente volatile ed alterabile del dato digitale (19) ponga sul tappeto nuove e più complesse questioni interpretative, in punto di attendibilità dell’accertamento, rispetto agli strumenti cognitivi tradizionali. Il che consente di avviare la riflessione sul secondo profilo di interesse, presente tra le pieghe del tessuto argomentativo della decisione in esame; vale a dire l’individuazione delle modalità acquisitive del documento informatico, atte ad assicurare che la riproduzione fotografica sia fedele alla matrice digitale e, come tale, idonea a garantire un accertamento attendibile dei fatti rappresentati.
(17) Così, ancora, Rota, I documenti, cit., 729. (18) Sul legame intercorrente tra “immaterialità” e “fragilità” del documento informatico, si rinvia, ancora, a Tonini, Documento informatico e giusto processo, cit., 403-404. In questa prospettiva sembrano muoversi anche le considerazioni di Di Paolo, voce Prova informatica (diritto processuale penale), in Enc. dir., Annali VI, Milano, 2013, 738; Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, cit., 1526; Lupária, Computer crimes e procedimento penale, cit., 382 ss.; Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, 4509; Ricci, Digital evidence, sapere tecnico-scientifico e verità giudiziale, in Conti (a cura di), Scienza e processo penale, Milano, 2011, 347. (19) Sulla “volatilità” dell’elemento digitale, cfr., diffusamente, Lupária, La ricerca della prova digitale tra esigenze cognitive e valori costituzionali, in Lupária -Ziccardi (a cura di), Investigazione penale e tecnologia informatica, cit., 147-149.
DIRITTO DI INTERNET N. 3/2020
507
GIURISPRUDENZA PENALE 3. La tutela della genuinità del dato informatico: quale controllo sull’affidabilità dello screenshot?
Le caratteristiche del metodo di incorporamento digitale, appena richiamate, impongono, quindi, di soffermarsi sulla necessità di adottare particolari cautele nella fase di acquisizione, ammissione e valutazione della prova, al fine di salvaguardare la corrispondenza tra la copia cartacea e l’originale del documento informatico. Invero, la facilità con cui le informazioni, racchiuse nel messaggio di testo, possono essere trasferite dallo schermo dell’apparecchio cellulare ad altri indistinti dispositivi elettronici aumenta l’instabilità del documento informatico nel tempo e nello spazio, ed accresce, di conseguenza, il rischio della sua alterabilità, tanto rispetto al contenuto, quanto in relazione alla paternità. Addirittura, le occasioni di manipolazione, nel caso di specie, sembrano raddoppiare, giacché la falsificazione del dato digitale può verificarsi, prima ancora che sulla riproduzione fotografica della chat, direttamente sul testo del messaggio archiviato nel dispositivo elettronico. Non occorrono elevate abilità tecniche per eliminare dalla conversazione alcuni messaggi di testo, modificare il nome del mittente ovvero ricorrere ad una delle tante applicazioni, oggi in circolazione, che permette di inviare falsi SMS. Ancora più agevolmente, poi, è possibile manipolare l’immagine digitale, che riproduce la conversazione archiviata nel supporto informatico. Mediante l’impiego dei più comuni software di photo editing, chiunque può dirsi in grado di “comporre” una conversazione o sostituire alcuni contenuti originari della stessa, con l’effetto di inficiare la genuinità dell’immagine acquisita al processo. Invero, prima dell’avvento della tecnologia digitale, una fotografia tradizionale di tipo analogico raramente poneva esigenze di autenticità, dal momento che eventuali modifiche apportate fisicamente sull’immagine, incorporata in modo stabile sulla pellicola, richiedevano interventi altrettanto reali e, pertanto, agevolmente percepibili attraverso l’esame del negativo (20). Diversa-
(20) L’alterazione dell’immagine, catturata da una fotocamera tradizionale, poteva avvenire direttamente sulla pellicola, eliminando o aggiungendo alcune parti, per poi sviluppare l’immagine dal negativo modificato. In alternativa, l’immagine analogica poteva essere manipolata sulla copia del negativo a seguito dell’applicazione di opportune maschere volte a nascondere o inserire i particolari voluti. In ogni caso, però, della manomissione dell’immagine residuavano tracce visibili: «nel primo caso era sufficiente esaminare il negativo modificato per notare i ritocchi, nel secondo si sfruttavano le diverse caratteristiche (grana, spessore) del negativo-copia, che per motivi tecnici non erano mai uguali a quelli dei rullini delle fotocamere», così, Battiato-Galvan, La validità probatoria delle immagini e dei video, in Sicurezza e giustizia, II/MMXIII, 2013, 30, i quali osservano che – proprio a fronte di tali rischi – si era diffusa la prassi di depositare anche i negativi da cui provenivano le immagini.
508
DIRITTO DI INTERNET N. 3/2020
mente, la riproduzione fotografica digitale consente di alterare o sostituire, mediante appositi software, il contenuto originario dell’immagine, senza intaccare la fisicità del dispositivo esteriore e, soprattutto, senza lasciare tracce visibili ictu oculi di alterazione (21). Un simile rischio di «inquinamento probatorio» (22) suggerisce, quindi, di adottare prudenti cautele nella fase di acquisizione e valutazione dell’evidenza informatica, affinché possa dirsi garantita la conformità della riproduzione fotografica alla matrice digitale. Questa esigenza, avvertita dalla legge n. 48 del 2008 di ratifica della Convenzione di Budapest sul Cybercrime, in materia di ispezione, perquisizione e sequestro probatorio (23), non ha trovato, però, esplicito riconoscimento in tema di prova documentale (24). Il ripetuto richiamo legislativo alla necessità di assicurare la conservazione dei dati originali e di impedirne l’alterazione (25), circoscritto alle investigazioni informatiche, sembra lasciare inalterato il livello di tutela (pressocché inesistente) della genuinità del documento disciplinato dall’art. 234 c.p.p., con evidenti ricadute in tema di attendibilità delle informazioni ivi contenute (26).
(21) Per un confronto approfondito tra i differenti metodi di incorporazione fotografica (analogica/digitale), con particolare attenzione al valore probatorio assunto dalle rispettive immagini incorporate, si rinvia alla disamina di Marchetti-Colecchi-Cascini-Albertacci, Il valore probatorio dell’immagine digitale, in Giust. pen., 2004, I, c. 276 ss. (22) Così, Molinari, Questioni in tema di perquisizione e sequestro di materiale informatico, cit., 701. (23) La legge 18 marzo 2008, n. 48 di ratifica ed esecuzione in Italia della Convenzione del Consiglio d’Europa firmata a Budapest il 23 novembre 2001, meglio nota come Convenzione Cyber-crime, ha novellato, in particolare, gli artt. 244, comma 2; 247, comma 1-bis; 254, comma 2; 254-bis; 259, comma 2, 260, comma 2; 352, comma 1-bis; 354, comma 2, c.p.p., prescrivendo, per l’accesso ai dati informatici, l’adozione di peculiari cautele atte ad assicurare al “dato informatico” i caratteri di “immodificabilità” ed “inalterabilità” tipici del materiale probatorio tradizionale. A commento specifico di tale aspetto, si rinvia, per tutti, a Lupária, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Legge 18 marzo 2008, n. 48. I profili processuali, in Dir. pen. proc., 2008, 719. Per una disamina dettagliata dell’intero quadro normativo, Lupária (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella legge attuativa della Convenzione di Budapest, Milano, 2009. (24) Evidenziano siffatta lacuna, Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, cit., 536; Pittiruti, Digital Evidence e procedimento penale, cit., 27 ss.; Zacché, La prova documentale, cit., 31. (25) Risuona come un «leitmotiv» (così, Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, cit., 1528) la necessità di adottare «misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione», e provvedere, «ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità». (26) Per un’approfondita disamina delle problematiche relative alla “affidabilità” delle metodiche utilizzate e alla “attendibilità” dei risultati probatori, connesse all’impiego processuale di qualsivoglia evidenza elettro-
GIURISPRUDENZA PENALE Di qui, il rischio – avvertito da attenta dottrina (27) – che l’assenza di controlli sull’autenticità dei dati incorporati nel documento finisca per avallare pericolose scorciatoie probatorie, utili a veicolare all’interno del procedimento informazioni di dubbia provenienza, attraverso la mera stampa del file, generalmente ad opera della polizia giudiziaria o della persona offesa. È quanto sembra essere accaduto nel caso di specie. Aleggia, infatti, sullo sfondo della vicenda de qua, il pericolo che l’acquisizione, come prova documentale, della copia fotografica del display dell’apparecchio cellulare si traduca in un comodo espediente per aggirare il vaglio sull’autenticità delle informazioni digitali ivi incorporate, provocando inevitabili ripercussioni sull’idoneità probatoria e, dunque, sulla stessa attendibilità dell’accertamento. Un presidio a garanzia della genuinità del documento informatico, sotto il profilo della rispondenza tra la riproduzione fotografica della conversazione e la sua matrice digitale (28), non può che essere costituito, allora, dall’esame diretto del dispositivo mobile, così da verificare la provenienza dei messaggi e l’attendibilità intrinseca del loro contenuto. Non si tratta, peraltro, di un approdo interpretativo lontano da raggiungere. La Corte di Cassazione, infatti, ha manifestato – in una recente pronuncia (29) – una posizione di chiara aper-
nica, si rinvia a Lupária, La ricerca della prova digitale tra esigenze cognitive e valori costituzionali, in Luparia-Ziccardi (a cura di), Investigazione penale e tecnologia informatica, cit., 147-149. In argomento, altresì, Lorenzetto, Le attività urgenti di investigazione informatica e telematica, in Lupária (a cura di), Sistema penale e criminalità informatica, cit., 161 ss.; Marafioti, Digital evidence e processo penale, cit., 4521 ss., e, più recentemente, Pittiruti, Digital Evidence e procedimento penale, cit., 155 ss. (27) Paventa simili rischi di “scorciatoie” probatorie, Pittiruti, Digital Evidence e procedimento penale, cit., 25; Id., L’impiego processuale dei messaggi inviati mediante l’applicazione Telegram tra “scorciatoie” probatorie e massime di esperienza informatiche, cit., 119, e, nello stesso senso, altresì, Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, cit., 536. (28) Sulla garanzia di rispondenza della copia cartacea di un documento informatico all’originale, si richiama, sia pur con riferimento specifico all’acquisizione di un sito web, l’interessante sentenza Cass. civ., Sez. lav., 16 febbraio 2004, n. 2912, Assoc. Anni Verdi Onlus-Ente morale contro Angelini, in Giur. it., 2004, c. 1335, con nota di Bernardoni, Copia di una pagina web e sua valenza processuale; nonché in Dir. e giust., fasc. 19, 2004, 65, con nota di Iaselli, Quale valore processuale per pagine web ed e-mail?, secondo la quale, «a prescindere dalla ritualità della produzione, va esclusa la qualità di documento in una copia su supporto cartaceo che non risulti essere stata raccolta con garanzie di rispondenza all’originale e di riferibilità a un ben individuato momento». (29) Ci si riferisce a Cass., Sez. V, 19 giugno 2017, n. 49016, in Proc. pen. giust., 2018, n. 3, 529 ss., con nota di Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali; nonché in Ilpenalista.it, 2 febbraio 2018, con nota di Di Muzio, Digital forensics: la rilevanza probatoria delle conversazioni su whatsapp. Secondo la Corte di cassazione, la registrazione di conversazioni svoltesi sul canale informati-
tura verso la necessità di accertare che la riproduzione, sotto forma di trascrizione, dei messaggi scambiati su un canale telematico sia una copia fedele della conversazione archiviata sul dispositivo mobile, condizionando l’utilizzabilità del dato probatorio all’acquisizione materiale del supporto che lo incorpora (30) e alla sua successiva accurata analisi. Analoghe considerazioni possono valere anche per la vicenda scrutinata nella sentenza in esame. Attesa la funzione meramente riproduttiva del contenuto della prova documentale “principale”, la copia fotografica del display che raffigura la conversazione intercorsa mediante SMS, per essere utilizzabile, deve accompagnarsi al supporto informatico che la contiene, affinché sia possibile appurare la paternità della memorizzazione e l’attendibilità di quanto da essa documentato. In mancanza di un adempimento di questo tipo, l’incertezza circa la conformità della stampa all’originale rende inaffidabile la rappresentazione fotografica del dato digitale e, conseguentemente, arbitraria l’attribuzione all’imputato dei messaggi ricevuti dalla persona offesa. Ciò significa che l’immagine della schermata dell’apparecchio cellulare, in assenza del controllo sull’autenticità delle informazioni ivi contenute, non dovrebbe poter trovare ingresso nel processo, né essere “ripescata” dal giudice per contribuire a formare il libero convincimento (31). Deve escludersi, infatti, la possibilità per l’orga-
co Whatsapp, per quanto costituisca una forma di memorizzazione di un fatto storico della quale si può certamente disporre legittimamente ai fini probatori, trattandosi di una prova documentale, va acquisita in modo corretto ai fini processuali, non potendosi prescindere dall’acquisizione dello stesso supporto-telematico o figurativo contenente la menzionata registrazione, al fine di verificare con certezza sia la paternità delle registrazioni sia l’attendibilità di quanto da esse documentato. In posizione parzialmente diversa, ex plurimis, Cass., Sez. I, 20 febbraio 2019, n. 21731, in C.E.D. Cass., rv. 275895, per cui, «in tema di prove, qualora non sia in corso un’attività di captazione delle comunicazioni, il testo di un messaggio sms, fotografato dalla polizia giudiziaria sul display dell’apparecchio cellulare su cui esso è pervenuto, ha natura di documento la cui corrispondenza all’originale è asseverata dalla qualifica soggettiva dell’agente che effettua la riproduzione, ed è, pertanto, utilizzabile anche in assenza del sequestro dell’apparecchio». (30) Solleva qualche perplessità, tuttavia, il riferimento, nella sentenza richiamata, al «supporto figurativo», dal quale sembrerebbe ricavarsi che sia sufficiente proprio la mera acquisizione dell’immagine della schermata dell’apparecchio cellulare. (31) Mette in guardia dalle inside che si celano dietro «un disinvolto utilizzo del libero convincimento del giudice», Marafioti, Digital evidence e processo penale, cit., 4521, il quale intravede nella declaratoria di inutilizzabilità della prova, formata senza il necessario rispetto del canone di integrità, l’unica soluzione possibile per evitare il rischio che «il libero convincimento divent[i] il viatico per legittimare un approccio antiformalistico in tema di prova». Nello stesso senso, già Lupária, ll caso “Vierika”: un’interessante pronuncia in materia di virus informatici e prova digitale. I profili processuali, in Dir. Internet, 2006, 159, e successivamente Id., Computer crimes e procedimento penale, cit., 389, tra i primi a teorizzare un’ipotesi
DIRITTO DI INTERNET N. 3/2020
509
GIURISPRUDENZA PENALE no giudicante di “sanare” il materiale probatorio spurio – o, comunque, ottenuto con metodi non verificabili – mediante il ricorso, nel momento valutativo, ad ulteriori elementi capaci di confermarne l’attendibilità (32). Si tratta di una conclusione obbligata in considerazione dei limiti ontologici legati alla natura della digital evidence ovvero – come più volte ribadito – all’estrema facilità con cui l’essenza del dato informatico può essere irrimediabilmente inquinata e perdere, così, la sua attitudine dimostrativa. Riposa, pertanto, su tale fragilità epistemica, l’esigenza di tutelare l’integrità digitale come un «valore assoluto» (33), da preservare attraverso l’adozione di misure idonee a garantire la genuinità del dato informatico, a prescindere da quale parte ne invochi l’acquisizione.
di inutilizzabilità per unreliability della prova, per inidoneità ad assicurare un accertamento attendibile dei fatti di reato. Per una ricostruzione dei variegati orientamenti dottrinali e giurisprudenziali sul punto, cfr. Pittiruti, Digital Evidence e procedimento penale, cit., 155 ss. (32) Secondo l’esegesi fatta propria da una certa giurisprudenza, la legge n. 48 del 2008, limitandosi a richiedere l’adozione di misure tecniche e di procedure idonee a garantire la conservazione dei dati informatici originali e l’immodificabilità delle copie estratte, non avrebbe introdotto alcuna inutilizzabilità probatoria del dato acquisito senza il rispetto delle suddette procedure, riconoscendo al giudice la possibilità di «valutare, secondo il principio del libero convincimento, al pari di qualsiasi altro documento», così, Cass., Sez. V, 4 dicembre 2017, n. 5175, in Dir&Giust., 2018, 5 febbraio. Sotto questo profilo, solleva le medesime incertezze la soluzione offerta da Cass., Sez. V, 27 marzo 2015, n. 36080, in Foro it. 2016, 7-8, II, 448, a commento della quale si rinvia a Taroni-Vuille-Lupária, La prova del DNA nella pronuncia della cassazione sul caso Amanda Knox e Raffaele Sollecito, in Dir. pen. cont. – Riv. trim., 1/2016, 161, ravvisando «una forma di sottovalutazione delle regole a salvaguardia dell’integrità e della genuinità della prova, frutto di una interpretazione non corretta del principio del libero convincimento del giudice». Nello stesso senso, ex plurimis, Cass., Sez. V, 3 marzo 2017, n. 22695, in Cass. pen., 2017, 4466; e, da ultimo, Cass., Sez. V, 14 gennaio 2020, n. 5094, inedita, secondo cui «eventuali deficienze nel processo acquisitivo dei dati costituiscono al più mere irregolarità in grado di riflettersi esclusivamente sulla valutazione relativa alla genuinità ed attendibilità della prova e sulla relativa motivazione». (33) Così, Lupária, ll caso “Vierika”: un’interessante pronuncia in materia di virus informatici e prova digitale. I profili processuali, cit., 158, tra i primi a ricordare che «la genuinità della electronic evidence costituisce […] un valore assoluto, pena l’inutilizzabilità del materiale raccolto per unreliability, vale a dire per inidoneità delle evidenze ad assicurare un accertamento attendibile dei fatti di reato».
510
DIRITTO DI INTERNET N. 3/2020
GIURISPRUDENZA AMMINISTRATIVA
Le gare telematiche e la tutela dei principi fondamentali: quale bilanciamento? Consiglio di S tato; sezione III; sentenza 24 febbraio 2020, n. 1350; Pres. Frattini; Est. Maiello; Servizi Italia S.p.a. (Avv. De Bonis) c. Azienda Sanitaria di Materia (Avv. Di girolamo) e Svas Biosana S.p.a. (Avv.ti Santella e Settembre) e altri. La gestione telematica della gara offre il vantaggio di una maggiore sicurezza nella “conservazione” dell’integrità delle offerte in quanto permette automaticamente l’apertura delle buste in esito alla conclusione della fase precedente e garantisce l’immodificabilità delle stesse, nonché la tracciabilità di ogni operazione compiuta; inoltre, nessuno degli addetti alla gestione della gara può accedere ai documenti dei partecipanti, fino alla data e all’ora di seduta della gara, specificata in fase di creazione della procedura. Le stesse caratteristiche della gara telematica escludono in radice ed oggettivamente la possibilità di modifica delle offerte. Nelle gare pubbliche, ove la relativa procedura sia caratterizzata (come nell’ipotesi di aggiudicazione con il sistema dell’offerta economicamente più vantaggiosa) da una netta separazione tra la fase di valutazione dell’offerta tecnica e quella dell’offerta economica, il principio di segretezza comporta che, fino a quando non si sia conclusa la valutazione degli elementi tecnici, resta interdetta al seggio di gara la conoscenza di quelli economici, per evitare ogni possibile influenza sull’apprezzamento dei primi; il principio della segretezza dell’offerta economica è, infatti, presidio dell’attuazione dei principi di imparzialità e buon andamento dell’azione amministrativa, predicati dall’art. 97, Cost.
…Omissis… La società appellante, con il mezzo qui in rilievo, chiede la riforma del dispositivo di sentenza n. 512 del 20.6.2019, nonché della sentenza del TAR per la Basilicata n. 627 del 15.7.2019, nella sua versione integrale, di rigetto del ricorso n. 73/2019, come integrato dai motivi aggiunti, proposto avverso la determinazione del dirigente della U.O. Economato e Provveditorato dell’Azienda Sanitaria Locale di Matera n. 0325 del 12.2.2019 di aggiudicazione della gara per “l’affidamento in outsourcing del servizio di gestione integrata dello strumentario per attività di sala operatoria ed ambulatoriale, ospedaliera e territoriale dell’Azienda Sanitaria Locale di Matera” in favore della società SVAS Biosana s.p.a. Espone preliminarmente l’appellante che: - la commissione giudicatrice, nominata il 31.1.2018, dava inizio alle operazioni di valutazione delle offerte tecniche da effettuarsi in sedute riservate e con tassativo obbligo di segretezza delle operazioni; - tale fase, di durata complessivamente pari a 10 mesi, si concludeva il giorno 20 dicembre 2018, in occasione cioè della lettura in seduta pubblica dei punteggi assegnati alle offerte scrutinate; - in data 10 agosto 2018, poco dopo l’arresto del direttore generale e del direttore amministrativo dell’azienda appaltante per presunte irregolarità relative ad altre procedure di evidenza pubblica, la società odierna appellante riceveva una lettera anonima, indirizzata anche alle altre imprese partecipanti alla gara, al Commissario straordinario dell’ASM, al RUP della procedura, al Di-
rettore generale della SUA-RB ed al GUP del Tribunale di Matera, che anticipava l’esito dello scrutinio delle offerte tecniche con indicazione della graduatoria provvisoria delle ditte ammesse ed i punteggi assegnati dal seggio di gara; - di ciò la società appellante, con comunicazione del 28 agosto 2018, informava la stazione appaltante; - l’Azienda inoltrava un’apposita istanza di parere all’ANAC che, però, con nota del 29.11.2018, archiviava siccome si trattava di una segnalazione sull’operato della stazione appaltante, disponendone al contempo la trasmissione all’Ufficio Vigilanza Servizi e Forniture per eventuali profili e seguiti di competenza; - nel frattempo, la procedura di gara proseguiva e nella seduta del 20.12.2018 veniva data lettura dei punteggi assegnati alle offerte tecniche che coincidevano, decimali compresi, con quelli anticipati nella lettera anonima; - da qui la proposizione da parte dell’odierna appellante di un primo ricorso al TAR per la Basilicata; - ciò nondimeno, e nonostante la violazione dell’obbligo di segretezza, la gara veniva aggiudicata alla Svas Biosana con atto che veniva gravato con motivi aggiunti. Il TAR ha respinto il ricorso, per come integrato dai motivi aggiunti, ritenendo che l’anticipata divulgazione dei punteggi, prima della seduta pubblica che ha concluso le attività della commissione in ordine alle offerte tecniche, non fosse idonea a determinare la caducazione dei relativi atti “…in assenza di declinazione di refluenze concrete sulla procedura “.
DIRITTO DI INTERNET N. 3/2020
511
GIURISPRUDENZA AMMINISTRATIVA Avverso tale decisione la società appellante, con unico articolato motivo, deduce che l’illegittima conoscenza, da parte di terzi, di notizie ed atti riservati, o peggio, la loro illegittima divulgazione ad opera degli stessi commissari, hanno fatto irrimediabilmente venire meno qualunque garanzia di riservatezza e correttezza della attività valutative della commissione. E ciò vieppiù in considerazione del fatto che il descritto episodio è accaduto poco dopo l’arresto dei vertici dell’Azienda per presunte irregolarità commesse nell’ambito di altre procedure concorsuali. D’altronde, lo stesso TAR avrebbe rilevato la violazione del principio di segretezza determinato dall’illegittima divulgazione di notizie riservate sollecitando la stazione appaltante allo svolgimento di ogni opportuna, scrupolosa ed effettiva verifica, attese le inevitabili implicazioni di ordine disciplinare ed eventualmente penale. Né rileverebbe, secondo l’appellante, il fatto che la lettera anonima sia stata inviata solo dopo la seduta di gara del 7 luglio 2018, nella quale sono stati definiti i punteggi illegittimamente divulgati; occorrerebbe, a tal riguardo, tener conto della disponibilità in capo alla commissione giudicatrice di tali valutazioni fino alla seduta pubblica fissata per la divulgazione dei punteggi. Del pari, inconferenti sarebbero le argomentazioni spese dal giudice di prime cure sulla segretezza delle offerte economiche, mai messa in discussione dall’appellante. Senza contare che, deduce ancora l’appellante, i concorrenti hanno caricato le proprie offerte economiche entro la data del 18 dicembre 2018, ovvero ben quattro mesi dopo l’avvenuta divulgazione dei punteggi. Resiste in giudizio la società SVAS BIOSANA S.p.A., aggiudicataria della gara in argomento che, anzitutto, eccepisce l’inammissibilità dell’appello per carenza di un interesse giuridicamente tutelato, effettivo e concreto, alla proposizione del gravame. Segnatamente, l’appello non supererebbe la prova di resistenza non avendo provato l’odierno ricorrente che dall’accoglimento del gravame ne deriverebbe la sua aggiudicazione della gara. Inoltre, e sotto distinto profilo, l’appellante si sarebbe limitato a riprodurre pedissequamente le medesime censure già proposte in primo grado e disattese dal TAR. Nel merito, le doglianze veicolate nel mezzo di impugnazione sarebbero infondate in quanto l’Amministrazione avrebbe dato puntuale dimostrazione della correttezza della procedura, anche in ragione del fatto che la lettera anonima del 10.8.2018 sarebbe stata trasmessa 31 giorni dopo lo svolgimento delle attività riservate della commissione, rectius della valutazione delle offerte tecniche, ultimata in data 11.07.2018, rivelandosi in tal guisa inidonea ad arrecare effettivo pregiudizio al bene giuridico protetto dal principio di segretezza. E ciò anche in ragione del fatto che le offerte economiche erano state firmate digital-
512
DIRITTO DI INTERNET N. 3/2020
mente con marcatura temporale entro le ore 12:00 del 31/10/2017. Con ordinanza cautelare n. 5196 dell’11.10.2019 questa Sezione ha disposto la sospensione dell’esecutività della sentenza di primo grado, fissando l’odierna udienza di discussione. Motivi della decisione In via preliminare vanno disattese le eccezioni sollevate in rito dalla parte controinteressata circa l’inammissibilità dell’appello. Ed invero, contrariamente a quanto dedotto, non può dubitarsi dell’interesse strumentale qui azionato dall’appellante a dedurre la violazione dell’obbligo di segretezza, attesa la sua chiara attitudine a condurre ad una riedizione della gara con integrale rinnovazione della procedura selettiva in cui l’appellante avrebbe nuove possibilità di concorrere utilmente. Né sotto diverso profilo coglie nel segno l’ulteriore eccezione di inammissibilità sopra indicata avendo l’appellante riproposto le originarie censure attraverso il preliminare vaglio critico della trama argomentativa su cui riposa la decisione di primo grado. L’appello è infondato e, pertanto, va respinto. Ed, invero, la decisione di primo grado si rivela immune dalle doglianze attoree nella parte in cui evidenzia che l’anticipata ed irregolare divulgazione dell’esito delle valutazioni compiute dalla stazione appaltante nello scrutinio delle offerte tecniche ha avuto un’incidenza neutra sul decorso delle operazioni di gara, non compromettendo, nemmeno a livello potenziale, il corretto confronto concorrenziale tra le ditte partecipanti. La peculiarità della vicenda qui in rilievo consente, invero, di escludere, in mancanza di elementi di segno contrario, che la divisata violazione abbia interferito, anche solo in via potenziale, sulle operazioni di gara. In tal modo resta scongiurata, in apice, quella situazione di pericolo cui si riconnette l’esigenza di assicurare una tutela anticipatoria della concorrenza attraverso la rigorosa valorizzazione del principio di segretezza. Ed, invero, in ragione della tempistica che ha scandito gli adempimenti posti in essere dalla commissione giudicatrice, può dirsi, anzitutto, comprovata la intangibilità, rispetto a possibili interferenze esterne, del giudizio da questa reso sulle offerte tecniche. Orbene, le acquisizioni processuali, non fatte oggetto di contestazione ad opera dell’appellante, evidenziano che: - la Commissione giudicatrice, in data 11/07/2018 ha concluso le attività di valutazione delle offerte tecniche degli operatori economici concorrenti; - il Presidente della Commissione giudicatrice, con nota del 11/07/2018, ha disposto la trasmissione dei verbali di valutazione delle offerte tecniche al RUP; - il segretario verbalizzante, d’ordine del Presidente della Commissione giudicatrice, in data 17/07/2018, ha
GIURISPRUDENZA AMMINISTRATIVA trasmesso telematicamente al RUP e per conoscenza ai componenti della medesima Commissione giudicatrice, i verbali di gara in formato digitale; - il RUP, con nota prot. n. 20180074211 del 12/12/2018, come parzialmente rettificata con successiva nota prot. n. 20180074556 del 13/12/2018, ha convocato una seduta pubblica per le operazioni di apertura delle offerte economiche degli operatori economici concorrenti, invitando questi ultimi a caricare nella piattaforma telematica, entro le ore 18:00 del 18/12/2018, l’offerta economica ed eventuali giustificazioni già firmati digitalmente con marcatura temporale entro le ore 12:00 del 31/10/2017. Appare, dunque, di tutta evidenza come la fase di scrutinio delle offerte tecniche si sia svolta e perfezionata in seduta riservata ed in ossequioso rispetto del principio di segretezza. Ed, invero, non è qui in discussione la corretta formazione del processo di valutazione tecnico-qualititativa delle offerte con modalità tali da evitare influenze esterne sui giudizi dei membri della commissione giudicatrice, essendo stati disvelati solo successivamente al perfezionamento di tale giudizio, suggellato dal confezionamento alla data dell’11.7.2018 del relativo verbale, gli esiti delle valutazioni all’uopo svolte senza però che le pur rilevate distorsioni procedimentali abbiano condizionato nemmeno ex post il corretto svolgimento degli ulteriori snodi della procedura di gara e il libero gioco della concorrenza. Né hanno a tal riguardo pregio le argomentazioni spese dall’appellante che inferiscono una possibile compromissione della genuinità della procedura rispetto ad un’ipotetica regressione del procedimento al pregresso stadio della valutazione delle offerte tecniche. Sul punto, lo stesso sviluppo dell’iter procedimentale consente di escludere siffatta evenienza che, pertanto, costituisce mero esercizio dialettico siccome disancorata dalle concrete risultanze di causa. E le medesime conclusioni s’impongono anche rispetto all’ulteriore fase dello scrutinio delle offerte economiche in ragione delle modalità telematiche di confezionamento delle stesse. Com’è noto, nelle gare pubbliche, ove la relativa procedura sia caratterizzata (come nell’ipotesi di aggiudicazione con il sistema dell’offerta economicamente più vantaggiosa) da una netta separazione tra la fase di valutazione dell’offerta tecnica e quella dell’offerta economica, il principio di segretezza comporta che, fino a quando non si sia conclusa la valutazione degli elementi tecnici, resta interdetta al seggio di gara la conoscenza di quelli economici, per evitare ogni possibile influenza sull’apprezzamento dei primi; il principio della segretezza dell’offerta economica è, infatti, presidio dell’attuazione dei principi di imparzialità e buon andamento dell’azione amministrativa, predicati dall’art. 97, Cost.,
sub specie della trasparenza e della par condicio dei concorrenti, intendendosi così garantire il corretto, libero ed indipendente svolgimento del processo intellettivo - volitivo che si conclude con il giudizio sull’offerta tecnica e, in particolare, con l’attribuzione dei punteggi ai singoli criteri attraverso cui quest’ultima viene valutata; aggiungasi che la peculiarità del bene giuridico, protetto dal principio di segretezza dell’offerta economica, impone che la tutela si estenda a coprire non solo l’effettiva lesione del bene, ma anche il semplice rischio di pregiudizio al medesimo, perché anche la sola possibilità di conoscenza dell’entità dell’offerta economica, prima di quella tecnica, è idonea a compromettere la garanzia di imparzialità dell’operato dell’organo valutativo (cfr. ex multis Consiglio di Stato, sez. V , 02/09/2019 , n. 6017; Consiglio di Stato sez. V, 20/07/2016, n.3287). Occorre qui soggiungere che la gestione telematica della gara offre il vantaggio di una maggiore sicurezza nella “conservazione” dell’integrità delle offerte in quanto permette automaticamente l’apertura delle buste in esito alla conclusione della fase precedente e garantisce l’immodificabilità delle stesse, nonché la tracciabilità di ogni operazione compiuta; inoltre, nessuno degli addetti alla gestione della gara può accedere ai documenti dei partecipanti, fino alla data e all’ora di seduta della gara, specificata in fase di creazione della procedura. Le stesse caratteristiche della gara telematica escludono in radice ed oggettivamente la possibilità di modifica delle offerte (cfr. Consiglio di Stato, sez. III, 25 novembre 2016, n. 4990). Infatti, le fasi di gara seguono una successione temporale che offre garanzia di corretta partecipazione, inviolabilità e segretezza delle offerte e i sistemi provvedono alla verifica della validità dei certificati e della data e ora di marcatura; l’affidabilità degli algoritmi di firma digitale e marca temporale garantiscono la sicurezza della fase di invio/ricezione delle offerte in busta chiusa. Nella gara telematica la conservazione dell’offerta è affidata allo stesso concorrente, garantendo che questa non venga, nelle more, modificata proprio attraverso l’imposizione dell’obbligo di firma e marcatura nel termine fissato per la presentazione delle offerte (cfr. Consiglio di Stato, sez. V , 21/11/2017 , n. 5388). Nel caso qui in rilievo è pur vero che gli operatori hanno provveduto a caricare le proprie offerte nella piattaforma telematica, entro le ore 18:00 del 18/12/2018, ciò nondimeno occorre precisare che si tratta di documenti già firmati digitalmente con marcatura temporale entro le ore 12:00 del 31/10/2017, rispetto ai quali le circostanze denunciate dall’appellante assumono una valenza del tutto neutra. Né è possibile dare ingresso alle residue considerazioni secondo cui la preventiva conoscenza dei punteggi tecnici potrebbe condizionare gli operatori partecipanti
DIRITTO DI INTERNET N. 3/2020
513
GIURISPRUDENZA AMMINISTRATIVA inducendo taluni di essi a rinunciare a convalidare le proprie offerte economiche onde orientare l’esito della gara in favore di taluno dei concorrenti. Anche tale possibile effetto distorsivo risulta qui prospettato in termini del tutto ipotetici, dal momento che, nel concreto, tutti gli operatori ammessi alla procedura di gara e che hanno presentato offerte tecniche hanno, altresì, caricato sulla piattaforma informatica le offerte economiche precedentemente sottoscritte entro il suindicato termine di scadenza. Resta, in definitiva, confermata la mancanza, già evidenziata dal TAR, di possibili negative ricadute sul corretto sviluppo della procedura di gara che, nel suo concreto sviluppo, non è stata influenzata né resa influenzabile dalla pur deprecabile violazione della disciplina sulla riservatezza delle operazioni di gara. Tale rilievo assume rilievo decisivo dal momento che il pericolo presunto che si riconnette ad ogni possibile violazione delle regole che governano la riservatezza degli atti di gara va pur sempre coniugato con il principio di potenziale offensività della specifica condotta, che
deve mostrare, in concreto, l’attitudine a condizionare, anche in via potenziale, il corretto sviluppo della procedura di gara. Nel caso di specie, ed alla luce degli elementi concretamente determinatisi, sopra passati in rassegna, deve, dunque, concludersi nel senso che l’evento qui in rilievo, non appare suscettibile, alla luce del criterio di contestualizzazione dell’evento, con giudizio ex ante, a compromettere, in mancanza di elementi di segno contrario, l’affidabilità dei risultati della selezione in argomento. Conclusivamente, ribadite le svolte considerazioni, l’appello va respinto. Sussistono nondimeno giusti motivi, in ragione della peculiarità della vicenda scrutinata, per compensare tra le parti le spese di giudizio. P.Q.M. Il Consiglio di Stato in sede giurisdizionale (Sezione Terza), definitivamente pronunciando sull’appello, come in epigrafe proposto, lo respinge. …Omissis…
IL COMMENTO
di Francesco Oliverio Sommario: 1. Il caso di specie. – 2. Il divieto di commistione tra offerta tecnica ed offerta economica a tutela del principio di segretezza. – 3. Le gare telematiche. – 4. Alcune conclusioni: le gare telematiche garantiscono il principio di segretezza? Il presente contributo prende in esame un contenzioso relativo ad una procedura ad evidenza pubblica in cui l’esito dello scrutinio delle offerte tecniche posto in essere dalla Commissione giudicatrice, era stato illegittimamente divulgato prima della pubblicazione da parte della Stazione appaltante. Nella decisione in commento, il Consiglio di Stato, in virtù delle modalità con cui si è svolta la procedura di gara, ha respinto la domanda dell’appellante; la gestione telematica della procedura di gara, infatti, ha impedito ogni possibile violazione delle regole che governano la riservatezza degli atti di gara e ha garantito il naturale decorso delle operazioni di gara. This essay examines a dispute relating to a public procedure in which the result of the examination of the technical bids, carried out by the Selection Board, had been unlawfully disclosed prior to publication by the Contracting Authority. In the decision at stake, the Council of State, by virtue of the manner in which the tender procedure was managed, rejected the appellant’s request; the telematic management of the tender procedure, in fact, prevented any possible breach of the rules governing the confidentiality of tender documents and guaranteed the natural course of the tender operations.
1. Il caso di specie
Per far meglio comprendere la decisione resa nel caso di specie occorre necessariamente ripercorrere le tappe fondamentali del contezioso in cui la pronuncia interviene. La vicenda trae origine dalla Delibera del 2 agosto 2017 con cui l’Azienda Sanitaria Locale di Matera indiceva una procedura ad evidenza pubblica per l’affidamento in outsourcing del servizio di gestione integrata dello strumentario per attività di sala operatoria ed ambulatoriale, ospedaliera e territoriale dell’Azienda.
514
DIRITTO DI INTERNET N. 3/2020
Alla gara prendevano parte cinque operatori economici tra cui Servizi Italia S.p.a (ricorrente) e Svas Biosana S.p.a. (aggiudicataria/controinteressata). Il 31 gennaio 2018 veniva nominata la Commissione giudicatrice che dava avvio alle operazioni di valutazione delle offerte tecniche, in seduta riservata e con tassativo obbligo di riservatezza. La predetta fase si concludeva – dopo circa dieci mesi – il giorno 20 dicembre 2018; in particolare, poi, emergeva dai verbali di gara che la commissione aveva concluso le attività di valutazione delle offerte tecniche dei concorrenti in data 11 luglio 2018. In pari data il Presidente della commissione giudicatrice
GIURISPRUDENZA AMMINISTRATIVA trasmetteva – telematicamente – i verbali di gara e di valutazione al RUP. Medio tempore, in data 10 agosto 2018 – dopo l’arresto del direttore amministrativo della Stazione appaltante – la società Servizi Italia S.p.a. riceveva una missiva – indirizzata anche alle altre imprese partecipanti alla gara, al Commissario straordinario dell’ASM, al RUP della procedura, al Direttore generale della SUA-RB ed al GUP del Tribunale di Matera – con cui veniva anticipato l’esito dello scrutinio delle offerte tecniche e con indicazione della graduatoria provvisoria delle ditte ammesse ed i punteggi assegnati dal seggio di gara. La società Servizi Italia S.p.a. dava pronto avviso alla Stazione appaltante che – a sua volta – proponeva istanza di parere all’ANAC. L’Autorità, tuttavia, archiviava la vicenda poiché, vertendo sull’operato della Stazione appaltante, competente a conoscere della vicenda dovesse essere l’Ufficio Vigilanza Servizi e Forniture. A dispetto di quanto appena esposto, però, la procedura di gara seguiva il canonico evolversi. Nella seduta del 20 dicembre 2018 veniva data lettura dei punteggi assegnati alle offerte tecniche che, però, corrispondevano esattamente a quelli anticipati nella missiva anonima, decimali compresi. A margine della seduta, la Servizi Italia S.p.a. proponeva impugnativa dinnanzi al T.A.R. per la Basilicata. Successivamente, la gara veniva aggiudicata alla Svas Biosana S.p.a. e, il provvedimento di aggiudicazione, veniva impugnato con il ricorso per motivi aggiunti. La ricorrente deduceva che la illegittima divulgazione avesse violato qualunque forma di garanzia di riservatezza e correttezza delle attività della Commissione. Il giudice di prime cure respingeva il ricorso – integrato dai motivi aggiunti – ritenendo che l’anticipata divulgazione dei punteggi prima della seduta pubblica non fosse idonea a determinare la caducazione degli atti della Commissione. La Società proponeva ricorso dinnanzi al Consiglio di Stato. Il Supremo Consesso di giustizia amministrativa ha respinto l’appello osservando che l’irregolare divulgazione dell’esito delle valutazioni compiute dalla Stazione nello scrutinio delle offerte tecniche, non abbia avuto un’incidenza sulle operazioni di gara non compromettendo, pertanto, il corretto confronto concorrenziale tra le parti. Il Collegio, infatti, ha sottolineato che – come emerso dalle evidenze processuali non oggetto di contestazione – la fase di scrutinio delle offerte tecniche si sia svolta e perfezionata in seduta riservata e con il rispetto del principio di segretezza. Nella sentenza in commento, poi, il Consiglio di Stato ha altresì rilevato come nelle gare pubbliche la netta separazione tra la fase di valutazione dell’offerta tecnica e quella dell’offerta economica, il principio di segretezza comporta che, fino a quando non si sia conclusa la valutazione degli elementi
tecnici, resti interdetto al seggio di gara di conoscere dei profili economici dell’offerta. Ebbene, nel caso de quo la gestione telematica della gara ha garantito la conservazione dell’integrità delle offerte; le offerte economiche, infatti, sono state firmate digitalmente in sede di partecipazione alla gara e, dunque, la firma ne ha garantito l’immodificabilità. La gara telematica, inoltre, garantisce la trasparenza di ogni operazione compiuta e nessuno degli addetti alla gestione della gara può accedere. L’affidabilità degli algoritmi di firma digitale e di marca temporale garantiscono la sicurezza della fase di invio/ricezioni delle buste. Alla luce delle suesposte ragioni, pertanto, il Consiglio di Stato ha respinto l’appello.
2. Il divieto di commistione tra offerta tecnica ed offerta economica a tutela del principio di segretezza
La sentenza che oggi ci occupa, ha espresso importanti principi relativi al rapporto tra segretezza delle offerte e procedure di gara telematiche. Par utile, dunque, indagare e porre l’attenzione sulle gare telematiche al fine di valutare l’idoneità delle stesse a salvaguardare, più in generale, i principi posti a fondamento e tutela delle procedure ad evidenza pubblica. A parere di chi scrive, per meglio giungere all’obiettivo che ci si è sottoposti, occorre dapprima analizzare il principio di segretezza delle offerte, così da comprenderne la ratio e valutare, poi, la tutela garantita dalle procedure telematiche. Il principio di segretezza è strettamente correlato – tra gli altri ed in via principale – al principio di separazione tra offerta tecnica ed offerta economica. Procedendo con ordine, nella vigenza del d.lgs. 163/2006 era rimessa alla discrezionalità delle Stazioni appaltanti la scelta di valutare se affidare la commessa pubblica tramite il criterio del prezzo più basso o dell’offerta economicamente più vantaggiosa. Con il d.lgs. 50/2016, invece, il legislatore ha optato – quale criterio generale – per quello dell’offerta economicamente più vantaggiosa, tranne in alcune tassative ipotesi. Il criterio dell’offerta economicamente più vantaggiosa sottende l’idea che nei propri acquisiti per lavori, servizi e forniture, la p.a. non badi esclusivamente al risparmio sui costi ma consideri anche gli ulteriori aspetti e tale fine è raggiungibile tramite la valorizzazione del rapporto qualità/prezzo (1). Ebbene, in virtù di tale scelta legislativa – dettata, invero, da specifiche indicazioni comunitarie – ha assunto un ruolo principale la valutazione dell’elemento tecnico (1) Santi, I criteri di aggiudicazione degli appalti pubblici tra direttive comunitarie e legislazione nazionale (dopo la sentenza della Corte di Giustizia CE, 7 ottobre 2004, in causa C-247/02), in “giustamm”, all’indirizzo < https:// www.giustamm.it/>.
DIRITTO DI INTERNET N. 3/2020
515
GIURISPRUDENZA AMMINISTRATIVA dell’offerta connesso, ovviamente, all’elemento economico, fermo restando il divieto di commistione tra i due elementi. Più compiutamente, la disciplina è oggi dettata dall’art. 95 del d.lgs., rubricato “criteri di aggiudicazione dell’appalto”, il quale prevede – al comma 2 – che le amministrazioni rispettino i principi di trasparenza, di non discriminazione e di parità di trattamento. Al successivo comma 9, è altresì specificato che le amministrazioni aggiudicatrici utilizzino metodologie tali da consentire di individuare con un unico parametro numerico finale l’offerta economicamente più vantaggiosa. Tale scelta normativa, peraltro, è stata avallata anche dalla giurisprudenza; in particolare, l’Adunanza Plenaria del Consiglio di Stato (2) ha sottolineato come il ricorso a criteri di aggiudicazione degli appalti pubblici basato non solo sul prezzo e non orientati, dunque, al solo risparmio delle spesa pubblica ma idonei a valutare le offerte anche da un punto di vista qualitativo, può – ed anzi deve – essere ricondotto agli obiettivi di politica generale sovranazionale per come recepiti nelle direttive del 2014 e, per l’effetto, nel Codice dei Contratti Pubblici. Quanto sinora detto, ci introduce al tema centrale di questo paragrafo: il principio di segretezza delle offerte. Alla luce delle risultanze esposte, infatti, si comprendere in maniera più compiuta l’importanza del rapporto tra offerta tecnica ed offerta economica e – in particolare – del principio di separatezza e segretezza delle offerte, la cui genesi è opera della giurisprudenza (3).
(2) “La preferenza attribuita dal codice dei contratti pubblici a criteri non basati sul solo elemento del prezzo è poi coerente con i principi e criteri direttivi previsti dalla legge delega 28 gennaio 2016, n. 11, per l’attuazione delle direttive sugli appalti pubblici del 2014, tra cui la direttiva europea 2014/24/UE del 26 febbraio 2014, sui contratti di appalto pubblico. L’art. 1, comma 1, lett. ff) della legge delega prevede l’«utilizzo (…) del criterio dell’offerta economicamente più vantaggiosa,seguendo un approccio costo/efficacia, quale il costo del ciclo di vita e includendo il «miglior rapporto qualità/prezzo» valutato con criteri oggettivi sulla base degli aspetti qualitativi, ambientali o sociali connessi all’oggetto dell’appalto pubblico». Ad esso fa seguito la seguente precisazione: «regolazione espressa dei criteri, delle caratteristiche tecniche e prestazionali e delle soglie di importo entro le quali le stazioni appaltanti ricorrono al solo criterio di aggiudicazione del prezzo o del costo, inteso come criterio del prezzo più basso o del massimo ribasso d’asta». Nella medesima linea si colloca la successiva lettera gg), recante il criterio direttivo secondo cui l’aggiudicazione dei contratti pubblici «relativi ai servizi sociali e di ristorazione ospedaliera, assistenziale e scolastica, nonché a quelli di servizi ad alta intensità di manodopera» deve essere disposta «esclusivamente sulla base del criterio dell’offerta economicamente più vantaggiosa, come definita dalla lettera ff)», con esclusione«in ogni caso»del solo criterio di aggiudicazione del prezzo o del costo«inteso come criterio del prezzo più basso o del massimo ribasso d’asta». In termini analoghi è poi formulato il criterio direttivo previsto dalla lettera fff) del medesimo art. 1, comma 1, della legge delega.” (Consiglio di Stato, Adunanza Plenaria, 21 maggio 2019, n.8) (3) Mastrodomenico, in Appalti e Contratti, all’indirizzo < http:// www.appaltiecontratti.it/>; Police, Il sistema delle fonti nel Codice dei contratti pubblici, in Gli appalti pubblici: profili sostanziali e processuali, Napoli, 2012.
516
DIRITTO DI INTERNET N. 3/2020
Come noto, la separazione tra offerte tecniche ed offerte economiche è posta a tutela dei principi – di derivazione costituzionale – di imparzialità e buon andamento dell’azione amministrativa. Dal principio di separazione deriva quello di segretezza dell’offerta: la separazione tra offerta tecnica ed offerta economica, infatti, è funzionale ad evitare che l’offerta tecnica contenga elementi che consentano di ricostruire l’entità dell’offerta economica. Ebbene, l’applicazione del principio di separazione tra le offerte impone che le offerte economiche restino segrete per tutta la fase di valutazione delle offerte tecniche. Di talché, deve ritenersi illegittimo l’inserimento – ad esempio – di entrambe le offerte in un’unica busta; si determinerebbe, in detta ipotesi, il divieto di commistione sopra menzionato (4). La ratio del divieto di commistione (o di separazione) tra offerta tecnica ed offerta economica è quella di garantire l’imparzialità della Commissione, evitando che essa possa farsi condizionare nella scelta dell’offerta dalla “convenienza” della stessa. Il divieto suddetto non ha copertura normativa specifica, non si rinviene – infatti – alcuna norma all’interno del Codice dei contratti pubblici che ponga espressamente detto divieto né, tanto meno, alcuna norma esterna al codice stesso. Ciononostante, la giurisprudenza lo ha ricondotto ai principi di imparzialità e buon andamento dell’azione amministrativa, predicati dall’articolo 97 della Costituzione, sub specie della trasparenza e della par condicio tra i concorrenti. Il divieto di commistione non deve essere letto come divieto assoluto: ben possono, infatti, essere inclusi singoli elementi che non fanno parte dell’offerta economica all’interno dell’offerta tecnica, purché essi non siano idonei a far percepire l’entità dell’offerta economica. Come osservato dal Consiglio di Stato “l divieto non va inteso in senso assoluto, bensì relativo, con indagine da condurre in concreto, in riferimento alla detta funzione e non può essere interpretato in maniera indiscriminata, al punto da eliminare ogni possibilità di obiettiva interferenza tra l’aspetto tecnico e quello economico dell’appalto posto a gara, attesa l’insussistenza di una norma di legge che vieti l’inserimento di elementi economici nell’offerta tecnica a meno che uno specifico divieto non sia espressamente ed inequivocabilmente contenuto nella legge di gara” (C. Stato, 14 novembre 2018, n. 7057).
(4) Come osservato dalla giurisprudenza del Consiglio di Stato “nelle gare pubbliche il c.d. principio di separazione tra offerta tecnica e offerta economica, denominato anche come divieto di commistione, risponde alla finalità di garantire la segretezza dell’offerta economica ed è perciò funzionale ad evitare che l’offerta tecnica contenga elementi che consentano di ricostruire, nel caso concreto, l’entità dell’offerta economica” (C. Stato, Sentenza del 25 giugno 2019, n. 4342)
GIURISPRUDENZA AMMINISTRATIVA A valle delle considerazioni sinora svolte, pertanto, emerge come il principio della segretezza dell’offerta economica sia posto a presidio dell’attuazione dei principi di imparzialità e buon andamento dell’azione amministrativa – predicati dall’art. 97 della Costituzione – nelle specie della trasparenza e della par condicio dei concorrenti, con l’obiettivo di garantire il corretto, libero ed indipendente svolgimento del processo intellettivo – volitivo che trova spazio nella valutazione delle offerte tecniche e alla pedissequa attribuzione dei punteggi a quest’ultimo. La delineata peculiarità del bene giuridico protetto dal principio di segretezza dell’offerta economica, impone che la tutela si estenda a coprire, non solo l’effettiva lesione del bene, ma anche il semplice rischio di pregiudizio al medesimo, perché anche la sola possibilità di conoscenza dell’entità dell’offerta economica, prima di quella tecnica, è idonea a compromettere la garanzia di imparzialità dell’operato dell’organo valutativo. In conclusione, dunque, nelle gare da aggiudicarsi col criterio dell’offerta economicamente più vantaggiosa, ex art. 95 d.lgs. 50/2016, devono trovare applicazione i seguenti principi, così riassunti dal Supremo consesso amministrativo: “a) la valutazione delle offerte tecniche deve precedere quella delle offerte economiche; b) le offerte economiche devono essere contenute in buste separate dagli altri elementi (documentazione e offerte tecniche) e debitamente sigillate; c) la Commissione non può aprire le buste delle offerte economiche prima di aver completato la valutazione delle offerte tecniche; d) nell’offerta tecnica non deve essere inclusa né l’intera offerta economica, né elementi consistenti dell’offerta economica o elementi che, comunque, consentano di ricostruirla; e) nell’offerta tecnica possono essere inclusi singoli elementi economici che siano resi necessari dagli elementi qualitativi da fornire, purché siano elementi economici che non fanno parte dell’offerta economica, quali i prezzi a base di gara, i prezzi di listini ufficiali, i costi o prezzi di mercato, ovvero siano elementi isolati e del tutto marginali dell’offerta economica che non consentano in alcun modo di ricostruire la complessiva offerta economica” (C. Stato, 12 novembre 2015, n. 5181).
3. Le gare telematiche
Quanto appena esposto, ci introduce al secondo tema del presente elaborato: le gare telematiche. Preliminarmente, giova precisare che con l’espressione appalti telematici (5) ci si riferisce a quell’attività tramite la quale ci si avvale degli strumenti telematici ed informatici nelle procedure di aggiudicazione degli appalti (c.d. e-procurament) (6); la predetta locuzione viene utiliz (5) Sarzana, L’E-Procurment pubblico, in E-Government, Collana diretta da Giuseppe Cassano, Piacenza, 2003; Garofoli e Sandulli, Il nuovo diritto degli appalti pubblici nella direttiva 2004/18/CE e nella legge comunitaria n. 62/2005, Milano, 2005. (6) Sgueo, L’amministrazione digitale, in Giorn. dir. Amm., 2016, 37.
zata – indistintamente – per indicare sia l’informatizzazione di una singola fase della procedura sia l’utilizzo di mezzi telematici per la trasmissione degli atti di gara. Di talchè, comune denominatore delle esposte locuzioni è da rinvenirsi nell’utilizzo di tecnologie per il tramite delle quali si realizza la dematerializzazione della comunicazione tra gli operatori e le Stazioni appaltanti (7). Il quadro degli appalti telematici, però, trova la propria primaria fonte nella normativa comunitaria. Innanzitutto, la Commissione europea, con l’espressione appalti elettronici designa “la sostituzione lungo tutta la catena di procedure cartacee con procedure basate su sistemi di comunicazione e trattamento TCI. Gli appalti elettronici implicano l’introduzione di processi elettronici per le varie fasi della procedura d’appalto: pubblicazione del bando e degli avvisi, trasmissione dei documenti di gara, presentazione delle offerte, valutazione, aggiudicazione dell’appalto, ordine, fatturazione, pagamento” (8). Nella visione europea, dunque, il concetto di appalti telematici non indica la mera sostituzione dell’attuale asseto procedurale ad uno maggiormente connotato dalla dematerializzazione, ma – piuttosto – la gestione automatizzata di tutte le fasi della procedura. Occorre evidenziare, però, che le direttive del 2014 non contengono una specifica definizione; esse, infatti, si limitano ad indicare – nel capo II della Direttiva 201/24/UE – la definizione “tecniche e strumenti per appalti elettronici ed aggregati”: a ben vedere, in tale definizione possono essere ricompresi sia le procedure dematerializzate, sia i segmenti procedimentali digitali. Ebbene, occorre ora indagare l’aspetto principale sotteso all’intero paragrafo: quali solo gli obiettivi della digitalizzazione delle procedure di affidamento degli appalti pubblici? Una prima risposta a tale quesito può certamente rinvenirsi nella esigenza di uniformare e semplificare il diritto amministrativo europeo, come emerso in occasione Risoluzione del Parlamento europeo del 16 maggio 2017 sul piano d’azione dell’UE per l’eGovernment 2016-2020; in detta occasione, infatti, il Parlamento europeo ha avuto modo di evidenziare che: “è del parere che entro il 2022 le pubbliche amministrazioni debbano essere aperte, trasparenti, efficienti e inclusive e fornire servizi pubblici digitali end-to-end senza frontiere, personalizzati, di facile utilizzo e accessibili a tutti i cittadini e a tutte le imprese,
(7) In dottrina si è osservato che il concetto di e-procurment dovrebbe essere ricondotto ai soli strumenti nei quali il confronto concorrenziale venga integralmente celebrato con l’utilizzo di strumenti informatici: si richiama, in particolare Quarta, Acquisti telematici. Approvvigionamento di beni e servizi, Milano, 2005; dottrina contraria: Gatti, E-Procurement: il D.P.R. 101/2002 e gli acquisti in rete della P.A., Napoli, 2002, (8) Commissione europea, Libro verde sull’estensione dell’uso degli appalti elettronici nell’UE, Bruxelles, 18 ottobre 2010, COM (2010) 571 final, SEC (2010) 1214, 3.
DIRITTO DI INTERNET N. 3/2020
517
GIURISPRUDENZA AMMINISTRATIVA riducendo pertanto i costi, le barriere e gli oneri amministrativi per i cittadini e le imprese, in particolare per le PMI, e traendo tutti i vantaggi della rivoluzione digitale; ritiene, tuttavia, che ciò dovrebbe essere compatibile con un›equa ristrutturazione dell›amministrazione pubblica; [..] invita gli Stati membri a promuovere e utilizzare gli appalti pubblici elettronici per l’acquisto di forniture e servizi o per l’aggiudicazione di appalti di lavori pubblici, rendendo così la spesa pubblica più trasparente ed efficiente, con una conseguente riduzione dei costi e della burocrazia; invita inoltre gli Stati membri ad incrementare l’uso dei registri dei contratti e delle firme elettroniche interoperabili nei rispettivi settori pubblici; invita la Commissione e gli Stati membri ad adottare le misure necessarie per garantire che le procedure degli appalti pubblici siano trasparenti e che le informazioni siano disponibili in tempo reale per tutti i partecipanti; invita la Commissione, a tale riguardo, ad agevolare lo scambio delle migliori pratiche sull’utilizzo dei criteri di innovazione negli appalti pubblici, garantendo in particolare che gli appalti non ostacolino le soluzioni ma, anzi, diano la possibilità agli offerenti di proporre soluzioni innovative e aperte; invita la Commissione a portare avanti il suo lavoro sulle norme di fatturazione elettronica, nonché sulla presentazione e sulla notifica per via elettronica, come pure a incoraggiare l’uso dell’identificazione elettronica nei sistemi interni della pubblica amministrazione al fine di migliorare la responsabilità e la tracciabilità rispetto a tutte le operazioni in detti sistemi” (9). Ebbene, occorre ancora richiamare un atto sovranazionale, ossia la Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni del 3 ottobre 2017 relativa agli appalti pubblici efficaci in Europa e per l’Europa, in cui la Commissione, dopo aver evidenziato che “Le nuove tecnologie digitali offrono grandi opportunità per snellire e semplificare le procedure di appalto con l’introduzione degli appalti pubblici elettronici. Le direttive in materia di appalti prevedono l’obbligatorietà della presentazione elettronica dei bandi di gara entro ottobre 2018. Tuttavia, solo se l’intera procedura degli appalti pubblici sarà sottoposta alla trasformazione digitale sarà possibile usufruire pienamente dei vantaggi degli appalti elettronici. Tale trasformazione comprende varie fasi, dalla pianificazione, notifica e presentazione alla fatturazione, al pagamento e all’archiviazione”, ha posto l’accento sugli ulteriori obiettivi che la digitalizzazione delle procedure persegue: i) aumentare il grado di efficienza/economicità della pubblica amministrazione. La digitalizzazione, infatti, consentirebbe sia di agevolare la rapidità e la trasparenza delle comunicazioni e delle decisioni della p.a., sia di abbattere il (9) Per un ulteriore approfondimento si rimanda a piano d’azione dell’UE per l’eGovernment 2016-2020. Accellerare la trasformazione digitale della pubblica amministrazione, Bruxelles, 19 aprile 2016, COM (2016), 179 final.
518
DIRITTO DI INTERNET N. 3/2020
costo delle attività per la gestione delle gare d’appalto; ii) consentire una maggiore concorrenza tra gli operatori, non solo per il tramite di una maggiore diffusione del bando, ma anche grazie alla massima accessibilità alle gare (10); iii) favorire la trasparenza delle procedure e prevenire il fenomeno di collisione tra imprese (11). Quanto appena detto, ci consente di analizzare come il legislatore abbia trasposto il concetto di appalti telematici nelle more del d.lgs. 50/2016: rientrano nella categoria degli appalti elettronici: a) i sistemi dinamici di acquisizione; b) le aste elettroniche; c) i cataloghi elettronici disciplinati – rispettivamente – negli art. 34,35 e 36 della Direttiva 2014/24/UE e artt. 52, 53 e 54 della Direttiva 2014/25/UE e oggi ricondotti dal legislatore nazionale negli artt. 55 – 58 del d.lgs. 50/2017 I sistemi dinamici di acquisizione sono una procedura interamente automatizzata che consente alle amministrazioni di disporre di un ampio ventaglio di proposte e assicurano l’ottimizzazione dei mezzi finanziari e della par condico tra i partecipanti. Le aste elettroniche, invece, sono meccanismi idonei a classificare le offerte in base ad elementi quantificabili che possono essere espressi in cifre o percentuali. I cataloghi elettronici non rientrano nella categoria delle procedure di aggiudicazione; essi, invero, attengono alle sole modalità di presentazione delle offerte. Occorre, ora, porre l’attenzione sulla normativa nazionale ed in particolare su uno strumento che – ai fini che maggiormente interessano il presente elaborato – gioca un ruolo centrale: le procedure di gara svolte tramite le piattaforme telematiche di negoziazione. Il predetto strumento sembra il più idoneo a salvaguardare i principi che connotano le procedure ad evidenza pubblica, come sopra esposti (cfr. paragrafo 2). Invero, tale strumento non trova definizione formale né a livello nazionale né a livello comunitario. Tale aporia è stata in parte mitigata dalla circolare numero 3 del 6 dicembre 2016 dell’Agenzia per l’Italia Digitale (AgID), recante “Regole Tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra sistemi telematici di acquisizione e di negoziazione” emanata in applicazione di quanto espressamente previsto dall’art. 58, comma 4 del d.lgs. 50/2016 su cui si dirà più compiutamente infra. Con l’effetto che la disciplina delle piattaforme telematiche è – ancor oggi – di difficile inquadramento. Ai fini che maggiormente interessano, dunque, si deve richiamare l’art. 58 del d.lgs. 50/2016 che svolge il ruolo di principio generale in materia di telematizzazione
(10) Malinconico e Tuveri, Asta elettronica, in l’Amministrativista, all’indirizzo <http://lamministrativista.it/>, 2016. (11) De Nictolis, I nuovi appalti pubblici. Appalti e concessioni dopo il d.lgs. 56/2017, Bologna 2017.
GIURISPRUDENZA AMMINISTRATIVA delle procedure di gara. Tale ruolo emerge nel primo comma ove è precisato che: “Ai sensi della normativa vigente in materia di documento informatico e di firma digitale, nel rispetto dell’articolo 52 e dei principi di trasparenza, semplificazione ed efficacia delle procedure, le stazioni appaltanti ricorrono a procedure di gara interamente gestite con sistemi telematici nel rispetto delle disposizioni di cui al presente codice. L’utilizzo dei sistemi telematici non deve alterare la parità di accesso agli operatori o impedire, limitare o distorcere la concorrenza o modificare l’oggetto dell’appalto, come definito dai documenti di gara”. Da quanto esposto si rinviene un – generale – invito a ricorrere alle gare telematiche al fine di perseguire la semplificazione e l’efficienza delle procedure e di garantire la condivisione dei dati tra sistemi telematici. Il successivo comma 2, invece, stabilisce che le Stazioni appaltanti possano decidere le modalità di aggiudicazione della procedura di gara interamente telematica scegliendo, alternativamente, tra la presentazione di un’unica offerta e il ricorso all’asta elettronica. In ogni caso (comma 4), il sistema informatico genererà ed attribuirà – in via automatica e a ciascun operatore – un codice identificativo personale attraverso l’attribuzione di user id e password e di eventuali altri codici individuali d’accesso. La dottrina, tuttavia, ha osservato che la norma – pur prevedendo un’automaticità quasi assoluta del sistema – non esclude la possibilità che si realizzino imprevisti e non esclude a priori un eventuale intervento della Stazione appaltante (12). Il successivo quinto comma, poi, stabilisce che al momento della ricezione delle offerte la Stazione appaltante trasmetta in via elettronica a ciascun concorrente la notifica del corretto recepimento dell’offerta. Al termine della procedura (comma 10), il sistema produce in automatico la graduatoria. Occorre poi osservare che il grado di automatizzazione delle procedure consente anche di salvaguardare la gara da possibili interferenze illecite. Il legislatore non ha disciplinato, come detto, le eventuali patologie del sistema (guasti, disfunzioni o ritardi); a contrario, il tema è stato dibattuto in dottrina e, soprattutto, in giurisprudenza; l’elaborazione giurisprudenziale può essere cosi riassunta: una prima ipotesi è quella che attiene alla tardiva presentazione delle offerte a causa del malfunzionamento del sistema; in tal caso, l’orientamento maggioritario ritiene che il concorrente debba essere rimesso in termini, essendo esente da colpe (cfr. C. Stato, 31 agosto 2017, n. 4135). Una seconda ipotesi può essere ricondotta a quei casi in cui sia stata riscontrata una documentazione con difetti nei requisiti essenziali. Se l’errore dipende da un
(12) Carullo e Iudica, commentario breve alla legislazione sugli appalti pubblici e privati, Padova, 2018.
malfunzionamento del sistema, l’operatore deve essere reimmesso nei termini ovvero, la gara deve essere annullata (cfr. T.a.r. Lombardia, Milano, 22 dicembre 2017, n.2475); come ovvio, se l’errore è riconducibile in capo all’operatore economico, esso deve essere escluso. Un terzo ambito di ipotesi su cui la giurisprudenza si è trovata più volte nella necessità di intervenire è rappresentato dalla mancanza di necessità delle sedute pubbliche nell’ambito delle procedure telematiche. Il maggiore orientamento giurisprudenziale ritiene che l’assenza della pubblica seduta vada rinvenuta nella peculiarità di tali procedure; inviolabilità delle buste, incorruttibilità di ciascun documento sono solo alcuni degli aspetti a cui la giurisprudenza ha ancorato la legittimità della procedura senza pubblica seduta. Occorre, in conclusione, richiamare la già citata circolare n. 3 del 6 dicembre 2016 con cui l’AgID ha disposto delle Linee Guida per la più corretta applicazione dell’art. 58 cit. La circolare, in particolare, definisce: i) le modalità di scambio dei dai tra tutti i sistemi telematici coinvolti nelle procedure di acquisto della p.a.; ii) le modalità di interconnessione dei vari sistemi e iii) le informazioni che necessariamente devono essere condivise tra le parti. I soggetti destinatari della circolare sono (cfr. pag. 7 della circolare): le stazioni appaltanti, le centrali di committenza, i soggetti aggregatori e i prestatori di servizi di cui all’art. 39, comma 2 del D.Lgs: 50/2016; gli operatori economici di cui all’art. 3, comma 1 del D.Lgs. 50/2016; i soggetti istituzionali che gestiscono servizi, piattaforme e banche dati coinvolti nel processo di acquisto e negoziazione ai sensi del D.Lgs. 50/2016; i Registri pubblici nazionali; i soggetti che erogano servizi di aggregazione dei dati che possono essere coinvolti nel processo di acquisto e negoziazione. Quello appena descritto, dunque, è il quadro normativo e giurisprudenziale – nazionale e comunitario – che connota l’attuale sistema degli appalti telematici.
4. Alcune conclusioni: le gare telematiche garantiscono il principio di segretezza?
Dai paragrafi che precedono, sono emersi due aspetti principali: i contratti pubblici si connotano per la presenza di principi generali e imprescindibili che sono posti a tutela e garanzia del pubblico interesse, oltre che di tutte le parti coinvolte, e, al contempo, la gestione telematica delle gare pubbliche – nelle forme e nelle modalità sopra esposte – garantisce il rispetto di tutti i principi già menzionati, pur con le difficoltà emerse ed affrontate dalla giurisprudenza. Del resto, tale conclusione si può trarre anche dalla sentenza oggi in commento; come correttamente osservato dal Consiglio di Stato “la gestione telematica della gara offre il vantaggio di una maggiore sicurezza nella “conservazione” dell’integrità delle offerte in quanto permette automatica-
DIRITTO DI INTERNET N. 3/2020
519
GIURISPRUDENZA AMMINISTRATIVA mente l’apertura delle buste in esito alla conclusione della fase precedente e garantisce l’immodificabilità delle stesse, nonché la tracciabilità di ogni operazione compiuta; inoltre, nessuno degli addetti alla gestione della gara può accedere ai documenti dei partecipanti, fino alla data e all’ora di seduta della gara, specificata in fase di creazione della procedura. Le stesse caratteristiche della gara telematica escludono in radice ed oggettivamente la possibilità di modifica delle offerte (cfr. Consiglio di Stato, sez. III, 25 novembre 2016, n. 4990). Infatti, le fasi di gara seguono una successione temporale che offre garanzia di corretta partecipazione, inviolabilità e segretezza delle offerte e i sistemi provvedono alla verifica della validità dei certificati e della data e ora di marcatura; l’affidabilità degli algoritmi di firma digitale e marca temporale garantiscono la sicurezza della fase di invio/ricezione delle offerte in busta chiusa. Nella gara telematica la conservazione dell’offerta è affidata allo stesso concorrente, garantendo che questa non venga, nelle more, modificata proprio attraverso l’imposizione dell’obbligo di firma e marcatura nel termine fissato per la presentazione delle offerte (cfr. Consiglio di Stato, sez. V, 21/11/2017, n. 5388)”. Nel caso de quo, come detto, il principio di segretezza è stato tutelato dalle modalità di gestione telematica della gara: la divulgazione dei punteggi, infatti, avrebbe potuto – in astratto – condurre alla caducazione dell’intera procedura, ma ciò non è accaduto poiché la tracciabilità delle sedute e dei verbali disposti dalla Commissione, oltre alla firma digitale apposta alle offerte economiche, ne hanno garantito la genuinità contro ogni possibile alterazione. La gestione telematica della gara ha garantito l’impossibilità che la stessa potesse – anche solo astrattamente – essere condizionata. Appare lecito, dunque, interrogarsi sulle ragioni per cui – ancora oggi – il livello di digitalizzazione della p.a. sia così basso. Posto che, come ampiamente detto, gli strumenti tecnologici messi a disposizione dall’ordinamento paiono ben integrarsi con i principi generali dei contratti pubblici (trasparenza, parità di trattamento, non discriminazione, proporzionalità) occorre allora valutare la capacità delle Stazioni appaltanti di dotarsi di ambienti tecnologici sicuri ed efficienti. Tra le possibili cause dell’arretratezza digitale la dottrina (13) ne ha individuate, in particolare, due: i) una regolazione poco organica della materia e ii) il lento processo verso il passaggio alla digitalizzazione della p.a. (e-government). Basti pensare, come emerso da uno studio commissionato dall’UE che, nel 2016, solo quattro stati membri si affidavano alle tecnologie digitali in tutte le fasi prin-
(13) Carotti, L’Amministrazione digitale, le sfide culturali e politiche del nuovo codice, in Giorn. dir. Amm., 2017, 7.
520
DIRITTO DI INTERNET N. 3/2020
cipali della procedura di appalto (14). A ben vedere, e i giorni di emergenza che stiamo vivendo ne sottolineano con ancor più vigore l’importanza, la digitalizzazione degli appalti pubblici dovrebbe costituire il canale privilegiato per attuare politiche di spending-review. La scarsa digitalizzazione delle procedure di gara, si inserisce in un contesto più ampio di arretratezza digitale che connota l’attività della p.a.: basti pensare che molte amministrazioni pubbliche non hanno – nonostante l’obbligo normativo – un indirizzo PEC inserito sul ReGIndE e pertanto idoneo alla notifica degli atti giudiziali. E, dunque, una maggiore educazione all’uso degli strumenti digitali e una maggiore sviluppo dei mercati elettronici, ossia quei luoghi virtuali nei quali l’acquisto di beni e servizi viene gestito attraverso una piattaforma telematica, garantirebbero una maggiore virtuosità ed efficienza della P.A. Agli occhi di chi scrive, dunque, la digitalizzazione delle procedure di gara garantirebbe l’adesione al modello di “pubblica amministrazione come casa di vetro” che – in un fondamentale settore del paese come è quello degli appalti pubblici – garantirebbe una migliore funzione (qui da intendersi come deputatio ad finem) della pubblica amministrazione al pubblico interesse.
(14) Si fa riferimento alle fasi individuate dalla Commissione europea: e-notification (pubblicazione elettronica); e-access (accesso ai documenti di gara); e-submission (presentazione elettronica delle offerte); e-evolution (valutazione elettronica); e-award (aggiudicazione elettronica); e-ordering (ordinazione elettronica); e-invoicing (fatturazione elettronica); e-payment (pagamento elettronico).
GIURISPRUDENZA AMMINISTRATIVA
La «compravendita» di dati personali? –I– T.a .r. L azio, Roma ; sentenza 10 gennaio 2020, n. 260; Pres. Ivo Correale; Est. Lucia Maria Brancatelli; Facebook Ireland Ltd. (Avv. Cicala, Pescatore, Pennisi, Goisis, Coppola) c. Altroconsumo (Avv. Gualdieri) e altri. I dati personali possono costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto. A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati. Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”. Deve escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”. La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione “unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”. Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole. Non esiste il rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il “social network” in quanto l’oggetto di indagine da parte delle competenti autorità – rispettivamente Garante per la protezione dei dati personali e AGCM – riguarda condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione nel solo “social network”: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.
…Omissis… Diritto 1. La controversia ha ad oggetto due distinte condotte poste in essere da Facebook e sanzionate dall’Agcm in quanto ritenute, rispettivamente, ingannevoli e aggressive nei confronti dei consumatori. 2. La prima pratica riguarda la fase di registrazione dell’utente nella Piattaforma FB (sito “web” e “app”) e consiste nel rilascio di un’informativa ritenuta poco chiara e incompleta. Nello specifico, l’Autorità rilevava che «Sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di
un claim sulla gratuità del servizio offerto “Iscriviti. È gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di FB» (cfr. par. 18 del provvedimento). L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e lo sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal “social network”, perché dotati di valore commerciale. In particolare, osservava Agcm, «i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98 % del fatturato di Facebook Inc.».
DIRITTO DI INTERNET N. 3/2020
521
GIURISPRUDENZA AMMINISTRATIVA 3. La seconda pratica concerne il meccanismo che comporta la trasmissione dei dati degli utenti dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/ app” di terzi e viceversa. Agcm ha ritenuto che tale trasmissione avvenisse con modalità insistenti e tali da condizionare le scelte del consumatore. Nello specifico, rilevava che la Piattaforma «risultava (...) automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out» (par. 59). Osservava anche che «l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le limitazioni sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario», con l’effetto di indurlo a non modificare la scelta operata dalla società (par. 61). 4. Preliminarmente, il Collegio non accoglie l’istanza al superamento del numero massimo di pagine, presentata dalla parte ricorrente successivamente alla presentazione del ricorso. Ciò in quanto, pur avendo argomentato l’esponente in ordine alla ricorrenza dei presupposti di cui all’art. 6 del decreto del Presidente del Consiglio di Stato n. 167 del 22 dicembre 2016 – e quindi alla ricorrenza delle condizioni che legittimano la proposizione della richiesta di superamento – non ha poi individuato “gravi e giustificati motivi” che, ai sensi del successivo articolo 7, legittimano la proponibilità dell’autorizzazione successiva in luogo di quella preventiva. 5. Passando all’esame del merito della controversia, per ragioni di carattere espositivo saranno in primo luogo scrutinati i motivi di ricorso in relazione alla prima condotta sanzionata. 6. Le censure di parte ricorrente riguardano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto: non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare; gli obblighi asseritamente violati sarebbero tutti attinenti al diverso profilo del trattamento dei dati personali degli utenti, disciplinato unicamente dal “Regolamento privacy” che, in virtù del principio di specialità, assorbirebbe la condotta in questione. Le doglianze non possono essere condivise. Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”. Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento dei dati personali, che
522
DIRITTO DI INTERNET N. 3/2020
possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto. A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati. Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”. 7. La possibilità di uno sfruttamento economico del dato personale nell’ambito delle “piattaforme social” e la conseguente necessità di tutelare il consumatore che le utilizzi non può neppure definirsi, come prospettato da Facebook, un concetto del tutto innovativo, frutto di una interpretazione “estensiva” di norme sanzionatorie, come tale contraria al principio di prevedibilità. Già negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che «i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto». La stessa Agcm, conformemente alle indicazioni provenienti in ambito comunitario, aveva sanzionato l’11 maggio 2017 con il provvedimento PS10601 un operatore di “social network” per pratiche commerciali scorrette nei confronti della propria utenza, osservando che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di “marketing” «...acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente» (cfr. il par. 54 del richiamato provvedimento). Anche nella decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, che ha autorizzato la concentrazione relativa all’acquisizione da parte di Facebook di tale operatore di “social network”, erano presenti considerazioni sul valore economico dei dati degli utenti.
GIURISPRUDENZA AMMINISTRATIVA Da ultimo, l’esistenza di prestazioni corrispettive nei contratti per la fornitura di servizi di “social media” è stata affermata anche dal “network” europeo di autorità nazionali per la cooperazione della tutela dei consumatori di cui al Regolamento 2006/2004/CE. Nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/ CEE, concernente le clausole abusive nei contratti con i consumatori, il network ha avuto modo di affermare che tale direttiva «si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro» (cfr. pag. 19 della lettera del 9 novembre 2016 inviata a Facebook con cui è stata trasmessa la Posizione Comune del Network, allegata alla memoria di parte ricorrente del 28 giugno 2019). 8. Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”. La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione «unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29». Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole. 9. Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il “social network”. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali.
10. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione nel solo “social network”: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole. 11. La prima condotta sanzionata presenta effettivamente tale carattere, in quanto il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi («Iscriviti È gratis e lo sarà per sempre») lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio. In proposito, parte ricorrente non può essere seguita laddove sostiene che il richiamo al concetto di gratuità sarebbe giustificato dalla mancata richiesta del pagamento di una somma di denaro e che il consumatore medio attribuirebbe a tale termine, nella sua accezione comune, il significato di mera assenza di un corrispettivo patrimoniale. La pratica, infatti, è stata sanzionata in ragione della incompletezza delle informazioni fornite, che a fronte del “claim” di “gratuità” del servizio non consentivano al consumatore di comprendere che il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale (cfr. par. 55 provv.). In argomento, il provvedimento ha fornito una puntuale motivazione, supportata da una adeguata istruttoria, sulla carenza di sufficienti informazioni, nel processo di registrazione, circa il valore commerciale dei dati e allo scopo commerciale perseguito. L’affermazione di parte ricorrente secondo cui l’onere informativo imposto a Facebook imporrebbe uno standard inconciliabile con gli Orientamenti sulla trasparenza ai sensi del “Regolamento Privacy” rimane indimostrata e, anzi, contraddetta dagli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 2016, che impongono espressamente ai professionisti di non occultare l’intento commerciale di una pratica. La circostanza, poi, che ai fini della predisposizione della cosiddetta “informativa privacy” i relativi orientamenti suggeriscano una suddivisione in sezioni ovvero “stratificata on line” non è rilevante ai fini della carenza informativa del “claim” rilevata dall’Autorità, in ragione della diversità dei campi di applicazione e degli strumenti di tutela previsti dalle relative normative di settore. 12. L’Autorità nel provvedimento impugnato ha anche ampiamente confutato le tesi di parte ricorrente circa la completezza e chiarezza delle informazioni successivamente accessibili tramite “link” alla Normativa dati, alle Condizioni d’uso e alla Normativa Cookie, rilevando,
DIRITTO DI INTERNET N. 3/2020
523
GIURISPRUDENZA AMMINISTRATIVA alla stregua di un giudizio logicamente formulato, come le informazioni in questione non fossero né chiaramente né immediatamente percepibili. Quanto al “banner cookie”, inserito successivamente all’avvio del procedimento, è stato legittimamente ritenuto dall’Autorità inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto «oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account» (par. 21). 13. Dunque, il giudizio di ingannevolezza della condotta sub a) formulato nel provvedimento impugnato si sottrae ai vizi denunciati, risultando corretta la valutazione della Autorità circa l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al “social network”. 14. Quanto alle doglianze circa l’obbligo di pubblicare una dichiarazione rettificativa, occorre premettere che si tratta di una misura accessoria prevista dell’art. 27, comma 8, del codice del consumo, secondo cui, con il provvedimento che irroga la sanzione pecuniaria, «può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti». Si è chiarito che la dichiarazione non ha lo scopo di sanzionare l’operatore pubblicitario, ovvero di risarcire i soggetti già lesi dal messaggio, bensì di impedire, da un lato, eventuali future riedizioni del messaggio e dall’altro di contrastare l’eventuale persistere degli effetti del “claim” ingannevole. Di conseguenza, le modalità e le forme di detta pubblicazione sono rimesse alla valutazione discrezionale dell’Autorità e condizionate dalla necessità di raggiungere lo scopo per il quale essa è stata disposta (cfr. Tar Lazio, sez. I, n. 2306/2007; Cons. Stato, sez. VI, 21 luglio 2003 n. 4211). L’obbligo di pubblicazione della dichiarazione risulta del tutto giustificato, avuto riguardo alle finalità perseguite, e proporzionato, quanto alle modalità imposte, alla diffusione del messaggio. In argomento, le critiche nel ricorso secondo cui la pubblicazione della dichiarazione incrinerebbe il rapporto di fiducia con gli utenti non possono assumere rilevanza, trattandosi di valutazioni, indimostrate, di opportunità, che impingono nella sfera di discrezionalità riservata all’Autorità ma non determinano una potenziale illegittimità del provvedimento nella parte “de qua”. Anche le censure relative al difetto di proporzionalità della misura rispetto allo scopo che persegue non si pa-
524
DIRITTO DI INTERNET N. 3/2020
lesano fondate, alla luce delle modalità tecniche previste dalla stessa Autorità, che richiede la visibilità “mirata” della stessa solo a chi acceda alla “homepage” di Facebook o alla relativa “app”, per un periodo di tempo circoscritto (pari a venti giorni), e a ciascun utente registrato per una sola volta in occasione del suo primo accesso alla propria pagina personale Facebook. Infine, quanto alle deduzioni di Facebook, compendiate in una relazione tecnica allegata al ricorso, in cui si sostiene di non potere ottemperare pienamente alla misura imposta dall’Autorità, anche in ragione della genericità di alcune indicazioni, il Collegio osserva, in relazione alle criticità ravvisate sulle modifiche da apportare alla “app” di Facebook, che non risulta dimostrata l’impossibilità tecnica di realizzarle attraverso il rilascio di un aggiornamento dell’applicazione. Quanto alle altre difficoltà tecniche prospettate dalla ricorrente (quali quelle relative al formato della dichiarazione e alla visualizzazione del “pop-up” agli utenti italiani e per una sola volta) si tratta di questioni di carattere interpretativo, che non incidono sulla corretta imposizione della misura ma al più potranno essere affrontate dalla parte e dall’Autorità in sede di verifica dell’ottemperanza al provvedimento stesso, entro il cui ambito l’Agcm sarà tenuta a fornire a Facebook ogni chiarimento necessario per consentire una compiuta esecuzione della misura. 15. È possibile passare allo scrutinio delle censure riguardanti la pratica sub b) descritta nel provvedimento impugnato, che ha ad oggetto il meccanismo di trasmissione dei dati degli utenti registrati a Facebook dalla Piattaforma (sito “web/app”) del social network ai siti “web/app” di terzi. L’Autorità ha rilevato che la Piattaforma era “automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out”. L’Autorità ha affermato che l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le conseguenze per lui penalizzanti, sia nella fruizione del “social network”, sia nella accessibilità e utilizzo dei siti “web” e “app” di terzi, sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario (par. 61). In definitiva, secondo l’Autorità, nonostante alcune modifiche operate dal professionista dopo l’avvio del procedimento sanzionatorio, sussisteva una pratica commerciale aggressiva in quanto Facebook continuava nella condotta di «preflaggare le opzioni a disposizione dell’utente e di disincentivarne la deselezione ricorrendo all’uso di espressioni atte a condizionare l’utente sulla reale portata delle conseguenze derivanti dalla deselezione medesima» (par. 63).
GIURISPRUDENZA AMMINISTRATIVA L’Autorità contesta, quindi, alla parte ricorrente l’esistenza di una “pre-attivazione” della piattaforma che, in ragione del meccanismo di “opt-in” preimpostato, non consentirebbe agli utenti di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme. 16. La ricostruzione del modello di funzionamento del meccanismo di integrazione delle piattaforme riportata nel provvedimento sconta dei travisamenti in punto di fatto che, come dedotto nel settimo motivo di ricorso, nella sezione B), lett. i), inficiano la correttezza del percorso motivazionale seguito dall’Autorità. Difatti, come documentato nell’allegato rubricato “doc. n. 5” al ricorso, al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il “login” di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione. Dunque, la “pre-attivazione” della piattaforma Facebook (vale a dire la “pre-selezione” delle opzioni a disposizioni) non solo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme. L’affermazione dell’Autorità secondo cui la piattaforma di Facebook era «automaticamente attivata con validità autorizzativa generale» non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”. Deve, poi, osservarsi, che il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effetti-
vamente presenti delle conseguenze negative in caso di disattivazione. L’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi. Anche nei casi in cui determinate applicazioni terze prevedano un meccanismo di integrazione diverso dal “Facebook login” (quali i “plug-in” social “Mi piace” o “Condividi”) Facebook avverte nella Normativa sui dati della possibilità che questi possono ricevere informazioni su ciò che l’utente pubblica o condivide e che «le informazioni raccolte da tali soggetti terzi sono soggette alle loro condizioni e normative, non alle nostre» (cfr. il doc. 6 allegato al ricorso). Deve anche osservarsi che eventuali contestazioni sulla non pertinenza o eccedenza del trattamento dei dati dell’utente rispetto alla finalità del trattamento stesso sarebbero di competenza dell’Autorità garante per la “privacy”, trattandosi di profili che non incidono sulla libertà di scelta del consumatore. 17. Dunque, il provvedimento dell’Autorità, quanto alla condotta descritta alla lettera sub b), si palesa illegittimo in ragione dei denunciati vizi di cattiva ricostruzione del funzionamento della integrazione delle piattaforme e dell’assenza di elementi sufficienti a dimostrare l’esistenza di una condotta idonea a condizionare le scelte del consumatore. 18. In conclusione, limitatamente all’accertamento dell’illegittimità della condotta sub b) e alle conseguenze – sanzionatorie, inibitorie e di adozione di una dichiarazione rettificativa – imposte dall’Autorità, il provvedimento impugnato deve essere annullato, dovendosene invece confermare la legittimità per la restante parte. 19. L’accoglimento solo parziale del ricorso, nonché il mancato rispetto del principio di sinteticità degli scritti difensivi, giustificano la compensazione delle spese di lite. …Omissis…
– II – T.a .r. L azio, Roma ; sentenza 10 gennaio 2020, n. 261; Pres. Ivo Correale; Est. Lucia Maria Brancatelli; Facebook Ireland Ltd. (Avv. Cicala, Pescatore, Pennisi, Goisis, Coppola) c. Altroconsumo (Avv. Gualdieri) e altri. L’imputazione anche alla capogruppo Facebook Inc. delle condotte sanzionate in materia di pratiche commerciali scorrette è ricondotta ad una duplice fonte: la presenza di un controllo totalitario e, quindi, di un’influenza determinante sull’attività della controllata Facebook Ireland; l’omessa vigilanza sull’operato della “società figlia”, individuata quale contegno idoneo alla realizzazione delle pratiche commerciali scorrette. La prima ha anche beneficiato della condotta scorretta della seconda, avendo incrementato la dimensione del social network, così aumentando il valore del network Facebook. Va pertanto escluso che la responsabilità si sia fondata esclusivamente sulla nozione di “parental liability”, ossia la presunzione per la quale la capogruppo risponde della condotta delle controllate allorché sia dimostrato che la stessa ha esercitato una influenza determinante sulla condotta di mercato delle stesse. Sulla capogruppo è dunque
DIRITTO DI INTERNET N. 3/2020
525
GIURISPRUDENZA AMMINISTRATIVA configurabile una forma di responsabilità autonoma, da omissione “in vigilando”, che si affianca al diretto interesse economico, avendo essa beneficiato delle condotte della controllata. Anche nell’ambito della tutela del consumatore può trovare applicazione, come accaduto nella presente fattispecie, l’orientamento giurisprudenziale, secondo cui in materia antitrust, in presenza di una società che detiene il 100% del capitale sociale di un’altra società, si presume che la società controllante eserciti un’influenza determinante nello svolgimento dell’attività della controllata, tale da farla ritenere responsabile per gli illeciti da quest’ultima materialmente realizzati. Il principio per cui la controllante risponde dell’illecito “antitrust” posto in essere dalla controllata deve essere applicato anche in materia di sanzioni per pratiche commerciali scorrette. I dati personali possono costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto. A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati. Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”. Deve escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”. La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione “unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”. Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole. Non esiste il rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il “social network” in quanto l’oggetto di indagine da parte delle competenti autorità – rispettivamente Garante per la protezione dei dati personali e AGCM – riguarda condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione nel solo “social network”: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.
…Omissis…
Diritto 1. La controversia ha ad oggetto due distinte condotte poste in essere da Facebook e sanzionate dall’Agcm in quanto ritenute, rispettivamente, ingannevoli e aggressive nei confronti dei consumatori. 2. La prima pratica riguarda la fase di registrazione dell’utente nella Piattaforma FB (sito “web” e “app”) e consiste nel rilascio di una un’informativa ritenuta poco chiara e incompleta. Nello specifico, l’Autorità rilevava che «Sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di un claim sulla gratuità del servizio offerto “Iscriviti. È
526
DIRITTO DI INTERNET N. 3/2020
gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di FB» (cfr. par. 18 del provvedimento). L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal social network, in quanto dotati di valore commerciale. In particolare, osservava Agcm, «i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.».
GIURISPRUDENZA AMMINISTRATIVA 3. La seconda pratica concerne il meccanismo che comporta la trasmissione dei dati degli utenti dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/ app” di terzi e viceversa. Agcm ha ritenuto che tale trasmissione avvenisse con modalità insistenti e tali da condizionare le scelte del consumatore. Nello specifico, rilevava che la Piattaforma «risultava (...) automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out» (par. 59). Osservava anche che «l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le limitazioni sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario», con l’effetto di indurlo a non modificare la scelta operata dalla società (par. 61). 4. Passando all’esame del merito della controversia, per ragioni di carattere espositivo saranno innanzitutto scrutinati i primi due motivi di ricorso, in cui l’esponente deduce l’inapplicabilità nei propri confronti dell’istituto della “parental liability”. Occorre precisare che il Provvedimento, nell’affrontare ai parr. da 50 a 53 il tema dell’imputazione anche a Facebook Inc. delle condotte sanzionate, la riconduce a una duplice fonte: la presenza di un controllo totalitario e, quindi, di un’influenza determinante sull’attività di Facebook Ireland; l’omessa vigilanza sull’operato della “società figlia”, individuata quale contegno idoneo alla realizzazione delle pratiche commerciali scorrette. Aggiunge anche l’Autorità che «Facebook Inc. ha beneficiato delle condotte scorrette di Facebook Ireland, avendo le stesse incrementato la dimensione del social network, così aumentando il valore del network Facebook». Deve, quindi, in primo luogo escludersi che la responsabilità si sia fondata esclusivamente sulla nozione di “parental liability”, ossia la presunzione per la quale la capogruppo risponde della condotta delle controllate allorché sia dimostrato che la stessa ha esercitato una influenza determinante sulla condotta di mercato delle stesse. L’Autorità ha, infatti, individuato anche una forma di responsabilità autonoma di Facebook Inc., da omissione “in vigilando”, che si affianca al diretto interesse economico, avendo essa beneficiato delle condotte di Facebook Ireland. Deve, inoltre, aggiungersi che anche nell’ambito della tutela del consumatore può trovare applicazione, come accaduto nella presente fattispecie, l’orientamento giurisprudenziale, secondo cui «nella materia antitrust [...] in presenza di una società che detiene il 100% del capitale sociale di un’altra società, si presume che la società controllante eserciti un’influenza determinante nello svolgimento dell’attività della controllata, tale da far-
la ritenere responsabile per gli illeciti da quest’ultima materialmente realizzati» (Tar Lazio, sez. I, 2 novembre 2012, n. 9001). La richiamata giurisprudenza di questa Sezione individua anche le ragioni per le quali il principio per cui la controllante risponde dell’illecito “antitrust” posto in esser dalla controllata deve essere applicato anche in materia di sanzioni per pratiche commerciali scorrette, evidenziando che «...la segnalata diversità dei due pacchetti normativi (antitrust e tutela del consumatore) non elide la matrice e la ratio comune degli stessi, che, quand’anche sotto diversi angoli visuali, attengono, per entrambi, alla tutela dell’endiade costituita dal mercato e dalla libertà di concorrenza. Di talché una diversa graduazione delle modalità attuative dei relativi strumenti sanzionatori, quale quella auspicata dalla ricorrente, che vedrebbe, nello specifico, meno attrezzata proprio la normazione destinata alla protezione del consumatore, ovvero del soggetto che si profila nello scenario comune di riferimento dei due citati ordinamenti di settore quale attore più debole, e nei confronti del quale l’esigenza di tutela deve, quindi, trovare più marcata considerazione, non risulta sorretta da alcuna ragionevole motivazione» (Tar Lazio, Roma, sez. I, n. 9001/2012, cit.). L’interpretazione posta in essere dall’Autorità, in conclusione, appare rispettosa del principio di personalità dell’illecito inteso in senso sostanziale ed effettuale, principio a cui si ispira l’intera normativa in materia di tutela del consumatore. Né si ravvisano possibili profili di lesione del diritto di difesa della società ricorrente, che è stata ampiamente messa nelle condizioni di partecipare al procedimento e svolgere le proprie difese nel corso dello stesso. 5. Accertata la sussistenza l’imputabilità anche alla parte ricorrente delle pratiche commerciali oggetto di sanzione, è possibile passare all’esame delle questioni riguardanti la prima condotta sanzionata. 6. Le censure di parte ricorrente riguardano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto: non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare; gli obblighi asseritamente violati sarebbero tutti attinenti al diverso profilo del trattamento dei dati personali degli utenti, disciplinato unicamente dal “Regolamento privacy” che, in virtù del principio di specialità, assorbirebbe la condotta in questione. Le doglianze non possono essere condivise. Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’i-
DIRITTO DI INTERNET N. 3/2020
527
GIURISPRUDENZA AMMINISTRATIVA scrizione e dell’utilizzo del “social network”. Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento dei dati personali, che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto. A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati. Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”. 7. La possibilità di uno sfruttamento economico del dato personale nell’ambito delle piattaforme social e la conseguente necessità di tutelare il consumatore che le utilizzi non può neppure definirsi, come prospettato da Facebook, un concetto del tutto innovativo, frutto di una interpretazione “estensiva” di norme sanzionatorie, come tale contraria al principio di prevedibilità. Già negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che «i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto». La stessa Agcm, conformemente alle indicazioni provenienti in ambito comunitario, aveva sanzionato l’11 maggio 2017 con il provvedimento PS10601 un operatore di “social network”, per pratiche commerciali scorrette nei confronti della propria utenza, osservando che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing «acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente» (cfr. il par. 54 del richiamato provvedimento). Anche nella decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, che ha autorizzato la concentrazione relativa all’acquisizione da parte di Facebook di tale “social network”, erano pre-
528
DIRITTO DI INTERNET N. 3/2020
senti considerazioni sul valore economico dei dati degli utenti. Da ultimo, l’esistenza di prestazioni corrispettive nei contratti per la fornitura di servizi di “social media” è stata affermata anche dal Network europeo di autorità nazionali per la cooperazione della tutela dei consumatori di cui al Regolamento 2006/2004/CE. Nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/ CEE, concernente le clausole abusive nei contratti con i consumatori, il Network ha avuto modo di affermare che tale direttiva «si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro» (cfr. pag. 19 della lettera del 9 novembre 2016 inviata a Facebook con cui è stata trasmessa la Posizione Comune del Network, allegata alla memoria di parte ricorrente del 28 giugno 2019). 8. Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”. La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione «unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29». Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole. 9. Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il social network. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali.
GIURISPRUDENZA AMMINISTRATIVA 10. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole. 11. La prima condotta sanzionata presenta effettivamente tale carattere, in quanto il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi (“Iscriviti. È gratis e lo sarà per sempre”) lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio. In proposito, parte ricorrente non può essere seguita laddove sostiene che il richiamo al concetto di gratuità sarebbe giustificato dalla mancata richiesta del pagamento di una somma di denaro e che il consumatore medio attribuirebbe a tale termine, nella sua accezione comune, il significato di mera assenza di un corrispettivo patrimoniale. La pratica, infatti, è stata sanzionata in ragione della incompletezza delle informazioni fornite, che a fronte del “claim” di “gratuità” del servizio non consentivano al consumatore di comprendere che il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale (cfr. par. 55 provv.). In argomento, il provvedimento ha fornito una puntuale motivazione, supportata da una adeguata istruttoria, sulla carenza di sufficienti informazioni, nel processo di registrazione, circa il valore commerciale dei dati e allo scopo commerciale perseguito. L’affermazione di parte ricorrente secondo cui l’onere informativo imposto a Facebook imporrebbe uno standard inconciliabile con gli Orientamenti sulla trasparenza ai sensi del “Regolamento Privacy” rimane indimostrata e, anzi, contraddetta dagli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 2016, che impongono espressamente ai professionisti di non occultare l’intento commerciale di una pratica. La circostanza, poi, che ai fini della predisposizione della cosiddetta “informativa privacy” i relativi orientamenti suggeriscano una suddivisione in sezioni ovvero “stratificata on line” non è rilevante ai fini della carenza informativa del claim rilevata dall’Autorità, in ragione della diversità dei campi di applicazione e degli strumenti di tutela previsti dalle relative normative di settore. 12. L’Autorità nel provvedimento impugnato ha anche ampiamente confutato le tesi di parte ricorrente circa la completezza e chiarezza delle informazioni successivamente accessibili tramite link alla Normativa dati, alle Condizioni d’uso e Normativa Cookie, rilevando, alla
stregua di un giudizio logicamente formulato, come le informazioni in questione non fossero né chiaramente né immediatamente percepibili. Quanto al “banner cookie”, inserito successivamente all’avvio del procedimento, è stato legittimamente ritenuto dall’Autorità inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto «oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account» (par. 21). 13. Dunque, il giudizio di ingannevolezza della condotta sub a) formulato nel provvedimento impugnato si sottrae ai vizi denunciati, risultando corretta la valutazione della Autorità circa l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al “social network”. 14. Quanto alle doglianze circa l’obbligo di pubblicare una dichiarazione rettificativa, occorre premettere che si tratta di una misura accessoria prevista dell’art. 27, comma 8 del codice del consumo, secondo cui, con il provvedimento che irroga la sanzione pecuniaria, «... può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti». Si è chiarito che la dichiarazione non ha lo scopo di sanzionare l’operatore pubblicitario, ovvero di risarcire i soggetti già lesi dal messaggio, bensì di impedire, da un lato, eventuali future riedizioni del messaggio e dall’altro di contrastare l’eventuale persistere degli effetti del “claim” ingannevole. Di conseguenza, le modalità e le forme di detta pubblicazione sono rimesse alla valutazione discrezionale dell’Autorità e condizionate dalla necessità di raggiungere lo scopo per il quale essa è stata disposta (cfr. Tar Lazio, sez. I, n. 2306/2007; Cons. Stato, sez. VI, 21 luglio 2003 n. 4211). L’obbligo di pubblicazione della dichiarazione risulta del tutto giustificato, avuto riguardo alle finalità perseguite, e proporzionato, quanto alle modalità imposte, alla diffusione del messaggio. In argomento, le critiche nel ricorso secondo cui la pubblicazione della dichiarazione incrinerebbe il rapporto di fiducia con gli utenti non possono assumere rilevanza, trattandosi di valutazioni, indimostrate, di opportunità, che impingono nella sfera di discrezionalità riservata all’Autorità ma non determinano una potenziale illegittimità del provvedimento nella parte “de qua”. Anche le censure relative al difetto di proporzionalità della misura rispetto allo scopo che persegue non si palesano fondate, alla luce delle modalità tecniche previste
DIRITTO DI INTERNET N. 3/2020
529
GIURISPRUDENZA AMMINISTRATIVA dalla stessa Autorità, che richiede la visibilità “mirata” della stessa solo a chi acceda alla “homepage” di Facebook o alla relativa “app”, per un periodo di tempo circoscritto (pari a venti giorni), e a ciascun utente registrato per una sola volta in occasione del suo primo accesso alla propria pagina personale Facebook. Infine, quanto alle deduzioni di Facebook, compendiate in una relazione tecnica allegata al ricorso, in cui si sostiene di non potere ottemperare pienamente alla misura imposta dall’Autorità, anche in ragione della genericità di alcune indicazioni, il Collegio osserva, in relazione alle criticità ravvisate in relazione alle modifiche da apportare alla “app” di Facebook, che non risulta dimostrata l’impossibilità tecnica di realizzarle attraverso il rilascio di un aggiornamento dell’applicazione. Quanto alle altre difficoltà tecniche prospettate dalla ricorrente (quali quelle relative al formato della dichiarazione e alla visualizzazione del “pop-up” agli utenti italiani e per una sola volta) si tratta di questioni di carattere interpretativo, che non incidono sulla corretta imposizione della misura ma al più potranno essere affrontate dalla parte e dall’Autorità in sede di verifica dell’ottemperanza al provvedimento stesso, entro il cui ambito l’Agcm sarà tenuta a fornire a Facebook ogni chiarimento necessario per consentire una compiuta esecuzione della misura. 15. È possibile passare allo scrutinio delle censure riguardanti la pratica sub b) decritta nel provvedimento impugnato, che ha ad oggetto il meccanismo di trasmissione dei dati degli utenti registrati a Facebook dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/app” di terzi. L’Autorità ha rilevato che la Piattaforma era «...automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out». L’Autorità ha affermato che l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le conseguenze per lui penalizzanti, sia nella fruizione del “social network”, sia nella accessibilità e utilizzo dei siti “web” e “app” di terzi, sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario (par. 61). In definitiva, secondo l’Autorità, nonostante alcune modifiche operate dal professionista dopo l’avvio del procedimento sanzionatorio, sussisteva una pratica commerciale aggressiva in quanto Facebook continuava nella condotta di «...preflaggare le opzioni a disposizione dell’utente e di disincentivarne la deselezione ricorrendo all’uso di espressioni atte a condizionare l’utente sulla reale portata delle conseguenze derivanti dalla deselezione medesima» (par. 63).
530
DIRITTO DI INTERNET N. 3/2020
L’Autorità contesta, quindi, alla parte ricorrente l’esistenza di una “pre-attivazione” della piattaforma che, in ragione del meccanismo di “opt-in” preimpostato, non consentirebbe agli utenti di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme. 16. La ricostruzione del modello di funzionamento del meccanismo di integrazione delle piattaforme riportata nel provvedimento sconta dei travisamenti in punto di fatto che, come dedotto nel nono motivo di ricorso, nella sezione B), lett. i), inficiano la correttezza del percorso motivazionale seguito dall’Autorità. Difatti, come documentato nell’allegato rubricato “doc. n. 5” al ricorso, al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il login di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione. Dunque, la “pre-attivazione” della piattaforma Facebook (vale a dire la “pre-selezione” delle opzioni a disposizioni) non solo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme. L’affermazione dell’Autorità secondo cui la piattaforma di Facebook era «automaticamente attivata con validità autorizzativa generale» non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”. Deve, poi, osservarsi, che il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effettivamente presenti delle conseguenze negative in caso di disattivazione. L’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi. Anche nei casi in cui determinate applicazioni terze prevedano un meccanismo di integrazione diverso dal “Facebook login” (quali i “plug-in” “social” “Mi piace” o “Condividi”) Facebook avverte nella Normativa sui dati della possibilità che questi possono ricevere informazioni su ciò che l’utente pubblica o condivide e che «le informazioni raccolte da tali soggetti terzi sono soggette
GIURISPRUDENZA AMMINISTRATIVA alle loro condizioni e normative, non alle nostre» (cfr. il doc. 6 allegato al ricorso). Deve anche osservarsi che eventuali contestazioni sulla non pertinenza o eccedenza del trattamento dei dati dell’utente rispetto alla finalità del trattamento stesso sarebbero di competenza dell’Autorità garante per la “privacy”, trattandosi di profili che non incidono sulla libertà di scelta del consumatore. 17. Dunque, il provvedimento dell’Autorità, quanto alla condotta descritta alla lettera sub b), si palesa illegittimo in ragione dei denunciati vizi di cattiva ricostruzione del funzionamento della integrazione delle piattaforme e dell’assenza di elementi sufficienti a dimostrare l’esi-
stenza di una condotta idonea a condizionare le scelte del consumatore. 18. In conclusione, limitatamente all’accertamento dell’illegittimità della condotta sub b) e alle conseguenze – sanzionatorie, inibitorie e di adozione di una dichiarazione rettificativa – imposte dall’Autorità, il provvedimento impugnato deve essere annullato, dovendosene invece confermare la legittimità per la restante parte. 19. L’accoglimento solo parziale del ricorso giustifica la compensazione delle spese di lite. …Omissis…
IL COMMENTO di Fabio Bravo
Sommario: 1. Il caso e le questioni. – 2. Complementarità tra discipline normative a protezione dell’utente. – 3. Il fuorviante richiamo alla “compravendita” dei dati personali. – 4. Cumulabilità delle tutele e interazioni tra rimedi. Il contributo, attraverso la disamina della casistica giurisprudenziale in materia di pratiche commerciali scorrette, dati personali e social network, si sofferma sul fenomeno della patrimonializzazione dei dati personali e sulla loro contrattualizzazione, nonché sulle interrelazioni tra la disciplina giuridica in materia di pratiche commerciali scorrette, diritto dei contratti e protezione dei dati personali. Contrariamente alla soluzione adottata in sede giurisprudenziale, il contributo chiarisce come i fenomeni di contrattualizzazione dei dati personali non possano essere ricondotti al contratto di compravendita. This essay, through the analysis of the case-law concerning unfair commercial practices, data protection and social media, focuses both on the phenomenon of the commodification and contractualization of personal data and on the interrelation among unfair commercial practices law, contract law and data protection law. Even though the recent judgements here analyzed seem to admit a “sale” of personal data, the Author argues that the contractualization of personal data themselves cannot be done by means of the sale contract.
1. Il caso e le questioni
Le vicende di cui alle sentenze gemelle rese dal T.a.r. Lazio, Roma, nn. 260 e 261 del 10 gennaio 2020 vedono contrapposte, rispettivamente, Facebook Ireland Ltd. e Facebook Inc. ad alcune associazioni di consumatori (quali Altroconsumo, Unione Nazionali dei Consumatori e Movimento Difesa del Cittadino) in due paralleli giudizi promossi dinanzi all’autorità giudiziaria per l’impugnazione dei provvedimenti resi dall’AGCM (Autorità Garante della Concorrenza e del Mercato) con cui, accertata l’illiceità delle condotte poste in essere in violazione della disciplina sulle pratiche commerciali scorrette in merito all’uso, per scopi commerciali, dei dati personali relativi agli utenti del noto social network, venivano irrogate sanzioni amministrative di carattere pecuniario, unitamente all’ordine di cessazione delle condotta lesiva ai danni dei consumatori e alla pubblicazione di una dichiarazione rettificativa sull’homepage del proprio sito Internet aziendale e sull’app utilizzati per l’erogazione del servizio, il cui testo veniva indicato
direttamente dall’Authority negli impugnati provvedimenti (1). In particolare l’AGCM aveva contestato alla società Facebook Inc. e alla società Facebook Ireland Ltd., due distinte pratiche commerciali ritenute scorrette, in quanto poste in contrasto con gli artt. 20, 21, 22, 24 e 25 cod.
(1) Il caso non ha precedenti. In via generale, tuttavia, il tema del rapporto tra dati personali e disciplina della concorrenza è al centro di una grande attenzione a livello istituzionale. Per un inquadramento si veda Pitruzzella, Big data, competition and privacy: a look from the antitrust perspective, in Concorenza e mercato, 2016, 15 ss. Per una trattazione sistematica della disciplina in materia di pratiche commerciali scorrette si veda, tra tutti, il volume di Zorzi Galgano, Il contratto di consumo e la libertà del consumatore, in Tratt. dir. comm. e dir. pubbl. econ., diretto da Galgano, LXII, Padova, 2012; Minervini-Rossi Carleo, Le Pratiche Commerciali Sleali. Direttiva Comunitaria Ed Ordinamento Italiano, in Quaderni di Giurisprudenza commerciale, Milano, 2007; nonché Alpa-Catricalà (a cura di), Diritto dei consumatori, Bologna, 2016, con particolare riferimento al cap. V; Bertani, Pratiche commerciali scorrette e consumatore medio, in Quaderni di Giurisprudenza commerciale, Milano, 2016; nonché, più recentemente, Granelli, Pratiche commerciali scorrette: le tutele individuali nel disegno di legge-delega di riforma del codice civile, in Contratti, 2019, 5, 493 ss.
DIRITTO DI INTERNET N. 3/2020
531
GIURISPRUDENZA AMMINISTRATIVA cons. nell’ambito delle attività di raccolta, di scambio con soggetti terzi e di utilizzo, a fini commerciali, dei dati dei propri utenti, incluse le informazioni relative ai loro interessi emergenti dall’analisi delle interazioni online. Come riassunto nella ricostruzione in fatto operata dal giudice amministrativo nelle sentenze sopra richiamate, la «prima pratica, ritenuta “ingannevole” (…), consisteva nell’avere adottato, nella fase di prima registrazione dell’utente nella Piattaforma Facebook (sito “web” e “app”), un’informativa ritenuta da Agcm priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti» (v. T.a.r. Lazio, Roma, sentt. 260 e 261 del 2020 citt., par. 3 e 4 della ricostruzione in fatto). Segnatamente, almeno fino al 15 aprile 2018, ove un utente accedeva alla homepage del social network per effettuare la registrazione, tanto via web che mediante l’app, si trovava di fronte al claim «Iscritivi. È gratis e lo sarà per sempre», senza che il richiamo alla pretesa gratuità del servizio fosse accompagnato da altrettanto chiare ed evidenti informazioni sulla raccolta e sull’uso a scopi commerciali dei dati personali racconti. Sicché l’AGCM aveva ritenuto che l’informazione fornita al consumatore fosse «non veritiera e fuorviante in quanto la raccolta e lo sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal “social network”, perché dotati di valore commerciale. In particolare, osservava Agcm, “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”» (v. T.a.r. Lazio, Roma, sentt. 260 e 261 citt., par. 2 delle motivazioni in diritto). La seconda pratica commerciale risultante dal provvedimento impugnato, «qualificata come “aggressiva”, si concretizzava nella applicazione, in relazione agli utenti registrati sulla piattaforma, di un meccanismo che, secondo la ricostruzione dell’Autorità, comportava la trasmissione dei dati degli utenti dalla Piattaforma del “social network” ai siti “web/app” di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali» (v. T.a.r. Lazio, Roma, sentt. 260 e 261 del 2020 citt., par. 3 e 4 della ricostruzione in fatto). Scendendo nel maggior dettaglio, l’AGCM aveva censurato il meccanismo con cui i dati degli utenti registrati a Facebook venivano trasmessi dalla Piattaforma del social network (tramite sito web o tramite app) ai siti web o alle app di soggetti terzi: secondo l’Authority, l’ingannevolezza della pratica commerciale era da ravvisare sia nella modalità con cui il meccanismo di trasferimento sarebbe stato tecnicamente congegnato (preimpostandolo automaticamente in modo da favorire il trasferimento di default
532
DIRITTO DI INTERNET N. 3/2020
di tali dati verso siti web ed app di soggetti terzi con cui Facebook aveva accordi commerciali, salva la possibilità per l’utente di impedire detto trasferimento attraverso l’attivazione di un meccanismo di opt-out), sia nelle dichiarazioni usate per descriverlo, in quanto, sempre secondo l’AGCM, le stesse sarebbero state approntate dal provider in modo da scoraggiare gli utenti dall’esercitare effettivamente le scelte di opt-out, ricorrendo all’uso di espressioni che avevano l’effetto di condizionare il consumatore sulla effettiva portata delle conseguenze derivanti dalla deselezione del trasferimento automatico in favore dei soggetti terzi (v. T.a.r. Lazio, Roma, sentt. 260 e 261 citt., par. 15 delle motivazioni in diritto). Le società fornitrici del servizio di social network provvedevano tuttavia ad impugnare, sotto diversi profili, i provvedimenti afflittivi resi nei loro confronti dall’AGCM, sostenendo, tra l’altro, che la normativa in materia di protezione dei dati personali avrebbe dovuto trovare applicazione in via assorbente, con conseguente inapplicabilità, alla fattispecie, di quella vigente in materia di pratiche commerciali scorrette: da ciò ne sarebbe dovuta derivare l’incompetenza dell’AGCM e, al contrario, il riconoscimento della competenza in via esclusiva, ratione materiae, del Garante per la protezione dei dati personali (2). Tra l’altro, l’argomentazione principale posta a fondamento dei ricorsi presentati da Facebook Inc. e Facebook Ireland Ltd., era fondata sul carattere di (asserita) gratuità della fornitura dei servizi di social network erogati agli utenti: l’applicabilità della disciplina consumeristica richiederebbe – sempre secondo la prospettazione degli ISPs – l’esistenza di un contratto di fornitura di beni
(2) Con le sentenze in commento il T.a.r. Lazio ha ritenuto di confermare solamente la prima delle due condotte contestate, ma non anche la seconda, in quanto la relativa contestazione è stata ritenuta non fondata, sia per una erronea ricostruzione dei fatti, rispetto a quanto documentato dall’ISP, sia perché, sotto il profilo delle locuzioni utilizzate nella comunicazione resa ai consumatori, non risulterebbero adeguatamente motivate, nel provvedimento dell’AGCM, le contestazioni sull’aggressività delle stesse. In particolare, nelle citate sentenze, si trova rimarcato che «L’affermazione dell’Autorità secondo cui la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale” non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”. Deve, poi, osservarsi, che il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effettivamente presenti delle conseguenze negative in caso di disattivazione. L’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi (…)» (T.a.r. Lazio, Roma, sent. 260 e 261 del 2020, citt., par. 16 delle motivazioni).
GIURISPRUDENZA AMMINISTRATIVA o servizi a titolo oneroso, sicché la mancata richiesta del corrispettivo in denaro per la fruizione del servizio di social network avrebbe dovuto comportare, sempre secondo le tesi difensive di Facebook Inc. e Facebook Ireland Ltd., l’impossibilità di veder applicata la disciplina a protezione del consumatore in materia di pratiche commerciali scorrette, ingannevoli o aggressive. Tale assunto è stato tuttavia respinto dall’autorità giudiziaria nelle sentenze in commento, attraverso argomentazioni che, negli intenti, mirano a ritenere distintamente applicabili sia la disciplina dettata in materia di protezione di dati personali (art. 8 Carta dei diritti fondamentali dell’UE e Reg. UE 679/2016), sia quella posta a protezione del consumatore in tema di pratiche commerciali scorrette (artt. 20 e ss. c. cons.). Le convincenti motivazioni sulla complementarietà tra le diverse discipline a tutela dell’interessato-consumatore, affrontate nelle sentenze gemelle che qui si commentano, approdano tuttavia a considerazioni non altrettanto convincenti – e che, invero, destano non poche perplessità – sul tipo di contratto invocato nel considerare lo scambio tra (diritto ad effettuare operazioni a fini commerciali sui) dati personali dell’utente e fornitura del servizio della società dell’informazione (servizio di social network). Infatti le sentenze gemelle in commento, nel rimarcare l’avvenuta patrimonializzazione dei dati personali divenuti nuovi «asset negoziali» nella disponibilità di operatori e interessati, fanno esplicito riferimento allo schema della «compravendita» (sic!), quale corollario del ragionamento in ordine alla valorizzazione della natura economica del dato personale, che assurge a controprestazione dei servizi erogati dagli ISPs. Tale inquadramento, tuttavia, non mi pare possa essere condiviso, per le argomentazioni esposte nel prosieguo del discorso. Il tema merita una particolare attenzione, in quanto l’inquadramento giuridico dei rapporti contrattuali tra provider e utente, aventi ad oggetto lo sfruttamento economico dei dati personali patrimonializzati, ha evidenti ripercussioni sia sul piano teorico e sistematico che su quello applicativo. È altresì suscettibile di incidere in maniera dirompente sui rilevanti interessi dei soggetti coinvolti, afferenti, in particolare, all’autodeterminazione informativa dell’interessato, alla libertà contrattuale del consumatore e alla libertà di iniziativa economica di entrambi i provider, che dalla patrimonializzazione dei dati ottengono, come significativamente accertato nell’impugnato provvedimento dell’AGCM e nelle sentenze in commento, addirittura il 100% (quanto a Facebook Ireland Ltd.) e il 98% (quanto a Facebook Inc.) del proprio cospicuo fatturato (v. T.a.r. Lazio, Roma, sentt. 260 e 261 cit., par. 2 delle motivazioni). Di tali sentenze, notevoli nella loro portata giusprivatistica, preme ripercorrere sia le interrelazioni tra le diverse discipline applicabili a protezione dell’utente, sia
l’inquadramento contrattuale dell’operazione economica, che vede impegnati, in sede negoziale, i soggetti principali della fattispecie di trattamento: da un lato, il titolare del trattamento di dati personali, che eroga servizi della società dell’informazione (in particolare servizi di social network) in cambio dell’utilizzabilità dei dati personali dell’utente, e, dall’altro lato, il soggetto interessato al trattamento dei dati personali, che, nell’utilizzare il servizio della società dell’informazione, conferisce i propri dati al titolare del trattamento, secondo logiche che appaiono riconducibili allo “scambio” tra dati e servizi (3). Si tratta di logiche che richiedono una particolare attenzione per via dell’estrema delicatezza della materia, tanto per l’impatto di carattere sistematico che tali argomentazioni finiscono per produrre con riguardo ai diversi istituti giuridici coinvolti, quanto per l’importanza, già evidenziata, degli interessi – personalistici ed economici – che entrano in rilievo nelle fattispecie di cui si discute.
2. Complementarità tra discipline normative a protezione dell’utente
Particolarmente apprezzabile, nelle sentenze in commento, è l’impostazione secondo cui l’applicabilità della normativa in tema di protezione dei dati personali (presidiata dal Garante per la privacy quale autorità di controllo in tale materia) non preclude l’applicazione della concorrente disciplina a tutela del consumatore; ciò, in particolare, qualora il trattamento dei dati personali dell’interessato si inserisca in dinamiche contrattuali volte alla fornitura di beni o alla prestazione di servizi, senza che sia di impedimento la mancata previsione di un corrispettivo in denaro a fronte dell’erogazione del servizio. La disciplina trova applicazione anche qualora la controprestazione del consumatore non consista nel (3) V., in tal senso, Cass. Civ., sent. n. 17278 del 2 luglio 2018, su cui v., amplius, infra e Bravo, Lo “scambio di dati personali” nella fornitura di servizi digitali ed il consenso dell’interessato tra autorizzazione e contratto, in Contratto e impresa, 2019, n. 1, 34 ss. In tema di patrimonializzazione dei dati e del bilanciamento tra le esigenze del mercato e quelle della persona si veda l’interessante volume di Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Milano, 2019 e, in esso, i contributi di Alpa, La “proprietà” dei dati personali, cit., p. 11 ss.; Zorzi Galgano, Le due anime del GDPR e la tutela del diritto alla privacy, cit., 35 ss.; Ricciuto, I dati personali come oggetto di operazione economica. La lettura del fenomeno nella prospettiva del contratto e del mercato, cit., 95 ss.; Messinetti, Circolazione dei dati personali e autonomia privata, cit., 137 ss.; nonché Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Ricciuto-Cuffaro (a cura di), I dati personali nel diritto europeo, Torino, 23 ss.; De Franceschi, Il «pagamento» mediante dati personali, in Ricciuto-Cuffaro (a cura di), op. cit., 1381 ss.; Resta-Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, in Riv. trim. dir. e proc. civ., 2018, 2, 411 ss.; Stazi-Corrado, Datificazione dei rapporti socio-economici e questioni giuridiche: profili evolutivi in prospettiva comparatistica, in Dir. inf., 2019, 443 ss. Con riguardo alla letteratura straniera si veda invece, ex multis, Prins, Property and Privacy: European Perspectives and the Commodification of Our Identity, in Information Law Series, 16, 223 ss.
DIRITTO DI INTERNET N. 3/2020
533
GIURISPRUDENZA AMMINISTRATIVA pagamento di una somma di denaro, ma in altro tipo di prestazione volta a consentire la remuneratività del professionista, qui ravvisata nel conferimento dei dati personali dell’utente e la loro utilizzabilità a fini commerciali (4). Contro l’argomentazione secondo cui l’AGCM avrebbe carenza di potere per aver asseritamente «invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare» (T.a.r. Lazio, Roma, sentt. 260 e 261 del 2020, citt., par. 6 delle motivazioni), il giudice amministrativo replica sostenendo che la protezione dei dati personali è, sì, disciplina che attiene alla tutela della personalità dell’individuo e, come tale, soggetta a specifiche e non rinunciabili forme di protezione, ma non può essere sottovalutato, di contro, che «sussiste pure un diverso campo di protezione del dato stesso» (ivi, par. 6 cit.), in quanto, a seguito del «fenomeno della [sua] “patrimonializzazione” (…), tipico delle nuove economie dei mercati digitali», il dato personale diviene oggetto di pattuizione in contratti “corrispettivi” e sinallagmatici «sia tra operatori del mercato che tra questi e i soggetti interessati» (ivi, par. 6 cit.), sicché tale fenomeno «impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale quello di utilizzo di un “social network”» (ivi, par. 6 cit.). Si deve pertanto condividere la conclusione enunciata sul punto, ovvero che la disciplina in materia di protezione dei dati personali, volta a proteggere il diritto fondamentale dell’individuo quale diritto della personalità, non costituisce l’unica tutela possibile del dato personale. Ove si ragionasse diversamente, infatti, si sarebbe (4) Tali aspetti sono ripercorsi anche dalla giurisprudenza della Cassazione citata nella nota precedente, con riguardo ad altra fattispecie ove, in cambio dell’utilizzo di dati personali, veniva fornito un servizio di newsletter senza alcuna richiesta di corrispettivo in denaro, analizzata in Bravo, Lo “scambio di dati personali” nella fornitura di servizi digitali ed il consenso dell’interessato tra autorizzazione e contratto, cit., 34 ss. Sulle considerazioni in ordine alla possibilità di individuare nel conferimento dei dati una controprestazione nell’ambito dei contratti con i consumatori v. anche, tra la dottrina dianzi richiamata, Resta-Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., 411 ss. e De Franceschi, Il «pagamento» mediante dati personali, cit., 1381 ss. Del resto in questa direzione sono stati mossi passi decisivi anche da parte delle istituzioni eurounitarie, con l’emanazione della dir. 770/2019(UE relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, al cui art. 3 viene prevista l’applicabilità della disciplina anche nell’ipotesi in cui il consumatore fornisca o si impegni a fornire, come controprestazione, i dati personali all’operatore economico. Si veda al riguardo, infra, nota n. 11.
534
DIRITTO DI INTERNET N. 3/2020
dovuto ammettere che «Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”. Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento di dati personali, che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto» (ivi, par. 6 cit.). La ricostruzione di diversi livelli di tutela conduce all’applicazione concorrente di normative diverse. Le discipline applicabili sono almeno tre: (i) quella privatistica a tutela del consumatore e concernente le pratiche commerciali scorrette (in relazione alla quale vi sono le attribuzioni dell’AGCM, nonché quelle del giudice amministrativo in sede di impugnazione); (ii) quella relativa alla protezione dei dati personali (per la quale è competente il Garante per la protezione dei dati personali, nonché il giudice civile in caso di impugnazione); (iii) quella sui rimedi civilistici in ambito contrattuale (la cui competenza è riservata all’autorità giudiziaria ordinaria, in sede civile) (5). Si tratta ovviamente di piani di tutela che operano in maniera distinta, non potendosi affermare, come invece sostenuto dai provider Facebook Inc. e Facebook Ireland Ltd., che una disciplina (quella in materia di protezione dei dati personali) abbia valore assorbente rispetto all’altra (quella in materia di pratiche commerciali scorrette di cui al codice del consumo). Sono discipline invocabili autonomamente e cumulativamente, che vanno a delineare un ventaglio di tutele (e di rimedi) complementari per il consumatore-interessato, accrescendone la sfera di protezione complessiva che l’ordinamento gli accorda. Dunque, a prescindere dalle questioni concernenti il trattamento dei dati personali, non affrontate – ratione materiae – dal provvedimento dell’AGCM, né dalle sentenze del T.a.r. Lazio ora in esame, la fattispecie è stata analizzata dal giudice amministrativo con riguardo alla sola disciplina in tema di pratiche commerciali sleali, con considerazioni condotte necessariamente anche in materia contrattuale (6). Nel testo delle sentenze in commento, infatti, il T.a.r. Lazio muove dalla necessità di argomentare le ragioni a sostegno dell’applicabilità, (5) Sulle possibili connessioni tra protezione dei dati personali e tutela del consumatore si veda anche, più in generale, Bravo, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, Milano, 2018, 183 ss. (6) Nel fare ciò, tuttavia, il Tribunale riconduce – in maniera non condivisibile e, a mio avviso, fuorviante – allo schema causale della “compravendita” lo scambio tra dati personali dell’utente (dei quali viene rimarcato il valore economico) e svolgimento dei servizi telematici, con rischio di ricadute enormi sul piano sistematico. Per le osservazioni critiche a tale inquadramento si rinvia, amplius, a quanto illustrato al par. 3 del presente scritto.
GIURISPRUDENZA AMMINISTRATIVA al caso di specie, della disciplina in materia di pratiche commerciali scorrette e, nel far ciò, articola il proprio ragionamento in due punti. Per un verso, le motivazioni della sentenza in commento rimarcano come la disciplina in tema di protezione dei dati personali, orientata alla tutela dei diritti della personalità dell’interessato, non esaurisca affatto l’ambito di protezione del soggetto a cui i dati si riferiscono, in quanto il dato personale può anche essere oggetto di pattuizioni contrattuali tra fornitori dei servizi della società dell’informazione e utenti, sicché, in tali casi, la fattispecie di trattamento di dati personali può essere inquadrata anche come fattispecie di consumo. Per altro verso, con riguardo all’accesso alla specifica tutela in materia di pratiche commerciali scorrette, le sentenze gemelle che qui si commentano rimarcano l’indiscutibile valore economico del dato personale e la sua capacità di costituire il fondamento della remuneratività per i servizi telematici offerti in favore dell’utente. Sono elementi che portano ad inquadrare la predetta fattispecie di consumo, nel caso che in questa sede ci occupa, nell’alveo dei contratti sinallagmatici di fornitura di servizi, in quanto la mancata richiesta di corrispettivo in denaro a fonte del servizio offerto non fa venir meno la corrispettività delle prestazioni: si tratta pur sempre di contratti a titolo oneroso e non gratuiti, nei quali il valore economico dei dati personali degli utenti, che il provider utilizza in nuovi e collaudati modelli di business, va a sostituirsi al valore economico rappresentato dal denaro – tipico delle prestazioni di carattere pecuniario per il pagamento del prezzo di un bene o di un servizio –, non richiesto direttamente al consumatore nella fattispecie per cui è causa (7). Nella ricostruzione di tali rapporti contrattuali, l’interessato non cessa di essere al contempo anche consumatore e, pertanto, beneficia della tutela prevista dall’ordinamento giuridico in materia di pratiche commerciali scorrette. (7) Significative, in tal senso, le riflessioni già a suo tempo elaborate da Resta-Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., 411 ss., secondo cui i rapporti tra fornitori di servizi della società dell’informazione e utenti, aventi ad oggetto l’uso a scopi patrimoniali dei dati personali, «hanno una natura sinallagmatica. A fronte del servizio di cui fruisce, l’utente fornisce i propri dati (da quelli anagrafici, all’indirizzo IP, alla propria localizzazione, al tempo di utilizzo, alle “pagine” visitate, ecc.). Questi dati — ed i “metadati” ad essi associati — costituiscono un bene oggetto di relazioni economiche e giuridiche. La circostanza che isolatamente abbiano un valore infinitesimale — secondo alcune stime il valore medio quotidiano dei dati personali ammonterebbe a circa un dollaro a persona — è irrilevante. Quel che conta è che un soggetto per ottenerli è disposto a fornire servizi che comportano un costo. D’altronde è solo bendandosi e chiudendosi in una stanza buia che non si vede che le più grandi (in termini di capitalizzazione di borsa) società al mondo sono data companies, come Google e Facebook. È davvero singolare la tesi che vorrebbe che tale sterminata fortuna derivasse da operazioni prive di rilievo giuridico-economico perché “gratuite”».
3. Il fuorviante richiamo alla “compravendita” dei dati personali
Il ragionamento può essere spinto anche più in là, in quanto l’interessato al trattamento dei dati personali può godere, oltre che degli strumenti di tutela approntati nei settori normativi sopra considerati, anche degli ordinari rimedi di diritto contrattuale e, a ben vedere, le tre discipline (quella in materia di protezione dei dati personali, quella in materia di pratiche commerciali scorrette e quella in materia di disciplina generale dei contratti) presentano interdipendenze necessarie, date dalle relazioni di carattere sistematico che si presentano, per via del carattere di unitarietà dell’ordinamento giuridico (8). Alla luce di tale considerazione, desta tuttavia non poche perplessità l’assunto, che si riscontra a chiare lettere in entrambe le pronunce in commento, secondo cui i predetti rapporti contrattuali tra fornitore del servizio e interessato al trattamento, a fronte del fenomeno di “patrimonializzazione” del dato personale, sarebbero da ricondurre al tipo (ed allo schema causale) della compravendita. Segnatamente, le sentt. 260 e 261 del 2020 citt., al par. 6 delle motivazioni, affermano che, nella fattispecie esaminata relativa al conferimento dei dati per la fruizione del servizio, al di là della tutela in materia di protezione dei dati personali «sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati». Vero è che la dottrina, prendendo atto del fenomeno di patrimonializzazione dei dati dell’utente, ammette forme di contrattualizzazione degli stessi, senza che possa essere di ostacolo la natura indisponibile del diritto fondamentale alla protezione dei dati personali goduto dal soggetto a cui i dati si riferiscono (9), come del resto
(8) Sull’unitarietà dell’ordinamento giuridico v., in particolare, Galgano, Trattato di diritto civile, 3a ed. a cura di Zorzi Galgano, 2014, I, 105; Id., Dogmi e dogmatica nel diritto, Padova, 2010, p. 45; P. Perlingieri, Il diritto civile nella legalità costituzionale secondo il sistema itali-comunitario delle fonti, 3a ed., Napoli, 2006, 182 s., nonché p. 415 s. (9) Cfr., ad es., Zeno Zencovich, voce «Cosa», in Dig. disc. priv., sez. civ., IV, Torino, 1990, spc. par. 13; Id., Profili negoziali degli attribuiti della personalità, in Dir. inf., 1993, 545 ss.; Id., Sull’informazione come “bene” (e sul metodo del dibattito giuridico), in Riv. crit. dir. priv., 1999, 485 ss.; Resta-Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., 411 ss.; De Franceschi, La circolazione dei dati personali tra privacy e contratto, Napoli, 2017; Ricciuto, Persona, privacy, dati personali, mercato. Una lettura patrimonialistica del fenomeno, in Cuffaro-D’orazio-Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 23 ss.; Thobani, Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente, in Media laws, 2019, 3, 131 ss. Nella letteratura straniera v., ex multis, Tindall, Argus Rules: The Commercialization of Personal Information, in J. of L. Tech.& Policy, 2003, 1, 183 ss.
DIRITTO DI INTERNET N. 3/2020
535
GIURISPRUDENZA AMMINISTRATIVA già riconosciuto dalla giurisprudenza civile (10) e ora riconosciuto anche dall’ordinamento europeo (11), ma la patrimonializzazione del dato non significa apprensione del dato personale altrui secondo logiche proprietarie (12), né con riferimento a schemi della proprietà dominicale, né con riferimento a schemi della proprietà industriale o intellettuale, sicché è erronea la prospettazione di chi parla di «titolarità dei dati» in capo al titolare del trattamento (13), così come è erronea la posizione di chi parla, con riguardo ai fenomeni simili a quelli di cui si discute nelle sentenze in commento, di «compravendita» dei dati (14). Il fenomeno di contrattualizzazione dei dati personali per fini di sfruttamento commerciale non può affatto essere accostato, neanche esemplificativamente, alla compravendita che, ai sensi dell’art. 1470 c.c., «è il contratto che ha per oggetto il trasferimento della proprietà di una cosa o il trasferimento di un altro diritto verso il corrispettivo».
(10) V., in particolare, Cass., sent. 2 luglio 2018, n. 17278, su cui cfr. Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Contratto e impresa, 2019, 1, p. 34 ss. (11) Cfr. art. 3 («Ambito di applicazione») della direttiva 770/2019/UE (relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali), ai sensi del quale «1. La presente direttiva si applica a qualsiasi contratto in cui l’operatore economico fornisce, o si impegna a fornire, contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si impegna a corrispondere un prezzo. La presente direttiva si applica altresì nel caso in cui l’operatore economico fornisce o si impegna a fornire contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti». (12) Che le logiche proprietarie siano fuorvianti è ben ribadito da Alpa, La “proprietà” dei dati personali, cit., 27 ss.; nonché Zorzi Galgano, Le due anime del GDPR e la tutela del diritto alla privacy, cit., 57 ss. (13) Discutono sul tema della «titolarità dei dati», diverso da quello relativo alla «titolarità del trattamento» sui dati personali, Stazi-Corrado, Datificazione dei rapporti socio-economici e questioni giuridiche: profili evolutivi in prospettiva comparatistica, cit., 453 ss., anche con riguardo alle tesi relative alla “proprietà” sui dati personali, non accoglibile nell’ordinamento giuridico europeo e italiano: come ricorda magistralmente Alpa, La “proprietà” dei dati personali, cit., 28, il tema «è oggetto di una letteratura infinita, soprattutto diffusa nei Paesi di common law, e segnatamente negli Stati Uniti. Anche qui occorre assumere alcune precauzioni, dato che la maggior parte dei contributi proviene da esperienze assai distanti dalla nostra per storia, cultura e formazione delle fonti ordinamentali. In altri termini, non si possono sovrapporre o trapiantare modelli giuridici diversi, né usare terminologie o concetti solo apparentemente simili con operazioni meccaniche e semplicistiche». (14) È questa, si noti, la prospettiva – non condivisibile – abbracciata nelle sentenze del giudice amministrativo che qui si commentano
536
DIRITTO DI INTERNET N. 3/2020
Gli ostacoli alla configurabilità del contratto di compravendita sono diversi: (a) i dati personali patrimonializzati, anche ove assurgano a prestazione corrispettiva e, dunque, a controprestazione, non possono essere assimilati al prezzo (15) della compravendita ai sensi dell’art. 1470 c.c., ma, semmai, ad una datio in solutum (ovvero ad una prestazione in luogo dell’adempimento), ove fosse stato pattuito un corrispettivo in denaro e si intendesse sostituire la prestazione pecuniaria con il conferimento dei dati o ad una prestazione diversa dal denaro in caso di obbligazione alternativa o facoltativa rispetto a quella pecuniaria. Ove invece, come nel caso di specie, il conferimento del dato costituisca l’unica prestazione, dedotta in via principale, è chiaro che non può assurgere al pagamento del prezzo, che, nella compravendita, è indiscutibilmente una somma di denaro, dovendosi altrimenti applicare altri schemi causali e, dunque, ricorrere ad altri tipi contrattuali; (b) inoltre, il richiamo al contratto di compravendita è inconferente e fuorviante soprattutto perché lascerebbe intendere, vista sotto altro profilo, un trasferimento in senso giuridico del diritto di «proprietà» sui dati personali riferibili al contraente o di «altro diritto» sui dati medesimi, ma si tratterebbe di una prospettiva erronea, giacché, trattandosi di attribuiti della personalità, su di essi permane un vincolo di indisponibilità, che deve essere inteso non come sottrazione a qualsivoglia operazione contrattuale, ma come sottrazione a contratti o altri atti suscettibili di operare un definitivo trasferimento dei diritti da un soggetto (l’interessato) ad un altro (titolare del trattamento). Pertanto, il contratto di compravendita è del tutto inidoneo a inquadrare la natura e la disciplina degli accordi aventi ad oggetto l’utilizzazione, a scopo commerciale, dei dati personali altrui, sia con riferimento al trasferimento del diritto di «proprietà» (sui dati), sia con riferimento al trasferimento di qualsivoglia «altro diritto», giacché l’interessato, ove si impegni contrattualmente in accordi patrimoniali sui dati personali al medesimo riferibili, può semmai concedere (autorizzare) atti di esercizio dei diritti su tali dati, ossia può attribuire, anche a titolo oneroso, facoltà di utilizzazione, anche per scopi commerciali, in favore del titolare del trattamento, ma sempre in via non definitiva. In sintesi, la cessione dei dati non è definitiva perché l’attributo della personalità è indisponibile nel senso sopra precisato, sicché può essere oggetto di limitata disposizione quanto agli atti di esercizio dei diritti sui dati personali (così come ammesso dalla giurisprudenza con riguardo ai diritti di utilizzazione dell’immagine), ma non cer-
(15) V. tuttavia, in senso contrario, De Franceschi, Il “pagamento” mediante dati personali, cit., 1391.
GIURISPRUDENZA AMMINISTRATIVA tamente quanto al diritto in sé sui dati personali, che rimane indisponibile in via definitiva. Chiara è anche la disciplina della revoca del consenso esercitabile in qualunque momento, prevista dall’art. 7 del GDPR. La compravendita è inapplicabile al caso di specie perché ha un necessario effetto traslativo, che tuttavia non è proprio dei contratti aventi ad oggetto dati personali; (c) il contratto concernente dati personali è inoltre un contratto che non solo non ha effetti traslativi, ma non ha neanche esecuzione istantanea. Come chiarisce la disciplina in materia di protezione dei dati personali, di cui si deve tener conto nella ricostruzione delle caratteristiche del contratto avente ad oggetto dati personali, il trattamento può avvenire solamente per un periodo di tempo strettamente necessario per il perseguimento delle finalità legittime per cui viene posto in essere e nell’informativa da rendere all’interessato il titolare del trattamento deve obbligatoriamente specificare anche la durata del trattamento o quantomeno i criteri per poterla determinare. Anche ove non vi fosse una revoca del consenso da parte dell’interessato, il titolare del trattamento potrà utilizzare i dati dell’interessato solamente entro un arco temporale determinato o determinabile (e non “sine die”): tutto ciò lascia ben intendere come i rapporti contrattuali tra fornitore di servizi (titolare del trattamento) e utente (interessato) – ove abbiano ad oggetto dati personali da utilizzare per scopi commerciali – siano pur sempre rapporti di durata, destinati ad essere circoscritti nel tempo e, dunque, incompatibili con la nozione di compravendita con effetti traslativi e ad esecuzione istantanea; (d) alla configurabilità della compravendita osterebbe inoltre anche la natura della prestazione del provider, trattandosi – nel caso di specie – di erogazione di un servizio e non di fornitura implicante il trasferimento di un bene in proprietà dell’acquirente, né il trasferimento di un altro diritto in favore di quest’ultimo. La questione, come ben si comprende, non è di natura meramente tassonomica, avendo importanti ricadute di sistema sia sul piano teorico che su quello operativo. Il rischio è che, accostando l’operazione economica de qua alla compravendita o ad altri contratti con effetti reali o comunque traslativi, si finisca non solo per patrimonializzare i dati personali, ma anche per considerarli «merce» di scambio, sottraendo all’individuo gli attributi indisponibili della personalità ed assecondando pericolose derive del mercato a danno delle ineliminabili esigenze di tutela dell’individuo, che trovano presidio nei diritti fondamentali dell’uomo, primi tra tutti quelli
di cui all’art. 8 CEDU e all’art. 8 della Carta dei diritti fondamentali dell’UE (16). Più che come «merce» (ovvero «beni» ex art. 810 c.c.), i dati personali vanno sempre considerati quali attributi della persona, su cui sono possibili, entro i limiti stabiliti dall’ordinamento, atti giuridici non traslativi, sempre revocabili e temporalmente circoscritti, suscettibili di valutazione patrimoniale (17). Ogni ricostruzione volta ad espropriare l’individuo dai diritti indisponibili di cui è titolare e a svuotare di contenuto i diritti della personalità al fine di assecondare le logiche commerciali imperanti del mercato va rigettata con fermezza. La soluzione da preferire in via interpretativa è invece quella di ammettere la contrattualizzazione dei dati personali secondo le logiche del contratto atipico di cui all’art. 1322, co. 2, c.c., che impone un vaglio sulla meritevolezza degli interessi, oltre che un’indagine sui «limiti» giuridici che coinvolgono i contenuti determinati dalle parti (limiti che sono espressamente richiamati al co. 1 con riguardo alla libera determinazione del contenuto ad opera delle parti, per i contratti tipici e, ovviamente, anche per quelli atipici) (18): non basta dunque
(16) Che i dati non possano essere considerati «merce» è chiarito nella recente direttiva 2019/770/UE, ove, al considerando n. 24, ribadisce che i «modelli commerciali (...) utilizzati in diverse forme in una parte considerevole del mercato» prevedono spesso che per la «fornitura di contenuti digitali o di servizi digitali (...), quando non paga un prezzo, il consumatore fornisca dati personali all’operatore economico», ma ciò non fa venir meno, nel legislatore europeo, la piena consapevolezza «che la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce». (17) Sulla possibilità di utilizzazione economica degli attributi della personalità si veda Zeno Zencovich, Profili negoziali degli attribuiti della personalità, in Dir. inf., 1993, 545 ss., nonché Resta, Autonomia privata e diritti della personalità, Napoli, 2005; Id., Dignità, persone, mercati, Torino, 2014, 93, ove si trova annotato che «i contratti sui diritti della personalità si caratterizzano per l’applicazione di un regime maggiormente protettivo rispetto a quello ordinario, volto a conciliare le esigenze di certezza e stabilità dello scambio con i precetti costituzionali di tutela della dignità e dell’autodeterminazione dell’individuo. I riflessi più rilevanti di tale impostazione attengono ai profili del sindacato sulla determinatezza dell’oggetto, delle regole dell’interpretazione, nonché dell’efficacia vincolante del contratto (segnatamente in ordine ai problemi del recesso). Inoltre, qualsiasi negozio avente ad oggetto attributi della persona sarà soggetto al rispetto dei limiti di compatibilità con l’ordine pubblico e il buon costume (clausole generali da concretizzare alla luce del più specifico precetto di tutela della dignità umana) e non potrà validamente realizzare alcun fenomeno di alienazione traslativa delle situazioni coinvolte (…)». (18) Come già sostenuto in altra sede, considerando il consenso al trattamento dei dati personali come autorizzazione “integrativa”, volta alla rimozione del vincolo (o limite) che l’ordinamento giuridico ha posto a tutela delle esigenze di protezione della personalità dell’interessato, pare preferibile percorrere le strade volte a considerare contrattualizzabili non tanto i dati in sé, che – come precisato anche dall’ordinamento eurounitario (considerando n. 24 della dir. 2019/770/UE) – non costituiscono una «merce», ma il rilascio stesso dell’autorizzazione “integrativa”: l’interessato, nel concedere la propria autorizzazione al trattamento dei dati personali – rimuovendo con ciò il limite alla negoziabilità previsto per garanti la propria autodeterminazione informativa – ben potrebbe decidere
DIRITTO DI INTERNET N. 3/2020
537
GIURISPRUDENZA AMMINISTRATIVA considerare l’ammissibilità – in linea di principio – dei contratti atipici aventi ad oggetto l’utilizzazione per scopi commerciali dei dati personali degli utenti in cambio della fornitura di servizi telematici, occorrendo invece ricostruirne, al contempo, i rigorosi confini di detta ammissibilità e i limiti posti a salvaguardia delle diverse esigenze di tutela accordate all’individuo dall’ordinamento giuridico, considerato nel suo inquadramento sistematico. Per far questo vanno messe a sistema le tre discipline sopra considerate: (i) quella sui diritti della personalità, a cui la protezione dei dati personali afferisce, (ii) quella sul diritto contrattuale e (iii) quella più propriamente consumeristica.
4. Cumulabilità delle tutele e interazioni tra rimedi
L’analisi congiunta delle predette discipline, tra loro complementari, porta a comprendere il concreto atteggiarsi dell’operazione giuridico-economica avente ad oggetto la contrattualizzazione dei dati personali. Va innanzitutto evitato di confondere il consenso al trattamento dei dati personali con il consenso contrattuale (19), anche qualora tali manifestazioni di volontà, ontologicamente distinte, siano state rese contestualmente. A tal riguardo è senza dubbio utile richiamare l’attenzione sulla significativa sentenza della S.C. di Cassazione, n. 1748 del 29 gennaio 2016, ove: (a) è stato dapprima espressamente affermato che «tutte le informazioni» di carattere personale (inclusa l’immagine di una persona) ricadono sotto la protezione accordata dall’art. 8 della Convenzione europea della salvaguardia
di “contrattualizzare” tale autorizzazione, prevedendo che la medesima sia da lui rilasciata solamente in cambio di un compenso o in cambio di un servizio, inserendo in tal modo il consenso al trattamento dei dati personali (unilaterale e autorizzatorio) nell’ambito di un rapporto contrattuale, tramite il consenso contrattuale che si risolve nell’accordo di cui agli artt. 1321 e 1325, n. 1, c.c. A tal riguardo cfr., amplius, Bravo, Le condizioni di liceità del trattamento dei dati personali, in Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, 145. (19) Sul consenso contrattuale v. l’approfondimento monografico di Memmo, Il consenso contrattuale. Le nuove tecniche di contrattazione, Padova, in Tratt. dir. comm. e dir. pubbl. econ., diretto da Galgano, 2007; quanto al consenso in materia di protezione dei dati personali v., in particolare, con riguardo alla normativa italiana previgente, Mazzamuto, Il principio del consenso e il problema della revoca, in Panetta (a cura di), Libera circolazione e protezione dei dati, in Trattati a cura di Cendon, Milano, 2006, I, 1029 ss.; Patti, Comm. sub. art. 23, in Bianca-Busnelli (a cura di), La protezione dei dati personali. Commentario al D. Lgs. 30 giugno 2003, n. 196 («Codice della privacy»), Padova, 2007, I, 553 ss.; con riferimento alle nuove norme del Regolamento europeo in tema di protezione e libera circolazione dei dati personali v., invece, Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giur. it., 2019, 12, 2783 ss.; Bravo, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 101 ss.; Bravo, Le condizioni di liceità del trattamento di dati personali, cit., 110 ss.
538
DIRITTO DI INTERNET N. 3/2020
dei diritti dell’uomo e delle libertà fondamentali, che sancisce il diritto al rispetto della vita privata e familiare nella sua nozione più ampia; (b) da quanto sopra richiamato se ne è fatto poi discendere, in applicazione del principio di autodeterminazione, che le «informazioni personali», anche ove inserite in un contratto a titolo oneroso, sono pur sempre soggette alla revoca dell’interessato, in qualsiasi momento (oggi assicurata espressamente dall’art. 7 GDPR), ed il consenso all’utilizzo delle informazioni personali, anche se inserito nell’ambito di un contratto a prestazioni corrispettive, non cessa di avere natura di atto unilaterale con valore autorizzatorio, revocabile in qualsiasi momento (20); (c) nel caso in cui venga esercitata la revoca del predetto consenso autorizzatorio all’uso delle informazioni personali, il contratto a titolo oneroso eventualmente intercorso tra le parti verrebbe travolto da tale revoca, rimanendo non più produttivo di effetti (21). Tale meccanismo di interrelazione tra i rimedi operanti nelle diverse discipline complementari sopra considerate, porta dunque a ritenere che, anche nel contratto intercorrente tra utente di social network e provider – avente ad oggetto la fornitura del servizio telematico de qua in cambio della facoltà di utilizzo (per un arco temporale determinato o determinabile) dei dati personali dell’utente medesimo per finalità commerciali –, l’operazione giuridico-economica non possa essere interpretata come una definitiva cessione dei (diritti sui) dati personali dell’utente in favore del provider titolare del trattamento, né come un contratto traslativo ad esecuzione istanta-
(20) Nella richiamata sent. n. 1748 del 2016 la Cassazione ha precisato che il consenso all’utilizzazione per scopi commerciali di un attributo della propria personalità «costituisce un negozio unilaterale avente ad oggetto non il diritto personalissimo ed inalienabile (…) [sul predetto attributo di personalità], che in quanto tale non può costituite oggetto di negoziazione, ma soltanto l’esercizio di tale diritto. Il consenso in parola, pertanto, sebbene possa essere occasionalmente inserito in un contratto, resta tuttavia distinto ed autonomo dalla pattuizione che lo contiene, con la conseguenza che esso è sempre revocabile, quale che sia il termine eventualmente indicato per la pubblicazione consentita, ed a prescindere dalla pattuizione del compenso, che non costituisce un elemento del negozio autorizzativo in questione, stante la natura di diritto inalienabile e, quindi, non suscettibile di valutazione in termini economici rivestita dal diritto in discussione». (21) In tal senso v., ancora, Cass., sent. n. 1748 del 2016: il consenso, quale atto unilaterale avente natura autorizzatoria, distinto ed autonomo dalla pattuizione contrattuale che eventualmente lo contiene, conserva la propria natura giuridica di atto unilaterale, anche ove sia stato racchiuso in una clausola contrattuale con cui si dispone, a titolo oneroso, dell’attributo della personalità e, trattandosi di consenso autorizzatorio revocabile, ove la revoca venisse esercitata il contratto per l’utilizzo commerciale dell’attributo della personalità deve «ritenersi del tutto privo di effetti, stante la rilevata prevalenza che, rispetto al vincolo contrattuale, assume la revoca del negozio unilaterale di concessione del diritto all’utilizzo (…)» dell’attributo della personalità. Cfr., amplius, Bravo, Le condizioni di liceità del trattamento di dati personali, cit., 146 s., nonché Id., Lo «scambio di dati personali», cit., passim.
GIURISPRUDENZA AMMINISTRATIVA nea, che lascerebbe inaccettabilmente l’interessato del tutto privo di quegli ineliminabili strumenti di tutela delle proprie esigenze personalistiche, collegate con la salvaguardia dei diritti fondamentali dell’uomo. Nessun consenso traslativo di diritti può pertanto configurarsi nel caso di contrattualizzazione degli attribuiti della personalità, inclusa l’immagine o altro dato personale dell’utente. A parziale correzione delle argomentazioni usate nelle sentenze gemelle che in questa sede si commentano v’è da considerare anche un altro aspetto emergente dall’interrelazione tra le diverse discipline. In particolare, va precisato che l’ammissibilità, sul piano causale, dei contratti di «scambio» tra dati personali e servizio della società dell’informazione è stata affermata, due anni orsono, anche dalla Cassazione, nella sentenza n. 17278 del 2 luglio 2018 cit., ove tuttavia sono stati rimarcati alcuni limiti derivanti dall’interazione tra disciplina in materia di protezione dei dati personali e disciplina contrattuale. Dall’esame di questi limiti mi pare possono evincersi deduzioni, in via interpretativa, che afferiscono anche alla disciplina in materia di pratiche commerciali scorrette, a conferma dell’effettiva correlazione sistematica tra le tre discipline giuridiche sopra richiamate. Segnatamente, con la dianzi richiamata pronuncia della Suprema Corte di Cassazione la liceità dello “scambio” tra (concessione dei diritti di utilizzazione dei) dati personali dell’utente e fornitura del servizio telematico (nella fattispecie si trattava di newsletter informativa in materia di diritto, fisco, lavoro, finanza et similia) è stata ribadita unitamente all’affermazione di rigorosi limiti entro cui tale liceità poteva ritenersi ravvisabile. In tale fattispecie veniva subordinata la fornitura del servizio telematico al consenso dell’utente ad un trattamento di dati personali effettuato per ragioni commerciali, non necessario all’erogazione del servizio. Anche in questo caso il modello di business è analogo a quello relativo alle sentenze gemelle del T.a.r. qui in commento: si offre un servizio senza richieste di compensi in denaro, ma in cambio dei dati personali dell’utente, da utilizzare nei confronti di soggetti terzi per ottenere remuneratività dal servizio erogato. La Cassazione, nella sentenza citata, aveva argomentato ritenendo che il consenso contrattuale, nei rapporti di scambio tra fornitura del servizio e utilizzabilità dei dati a scopi commerciali, richiedeva comunque l’esistenza di un consenso al trattamento dei dati personali per le predette finalità, sicché, ove la fornitura del servizio telematico fosse stata subordinata alla prestazione del consenso al trattamento dei dati per finalità commerciali, il consenso (quale atto unilaterale autorizzatorio, reso in materia di protezione dei dati personali) non si sarebbe potuto ritenere libero – e dunque validamente prestato
– qualora il servizio fosse da ritenere infungibile oppure qualora la revoca del consenso avesse comportato un gravoso pregiudizio per l’interessato. Ove tuttavia il consenso al trattamento non fosse da ritenere validamente fornito (per via dell’infungibilità del servizio o dell’esistenza di un gravoso pregiudizio per l’interessato nel caso di esercizio del diritto di revoca del consenso inizialmente prestato), allora anche il predetto contratto di scambio si sarebbe dovuto ritenere travolto, il che fa emergere l’esistenza di una evidente interrelazione, sul piano sistematico, tra la disciplina in materia di protezione dei dati personali e quella in materia di diritto contrattuale, nella cui categoria si innesta anche la tutela del consumatore in tema di pratiche commerciali scorrette (22). A ben vedere infatti, nelle sentenze gemelle del T.a.r. Lazio che in questa sede si commentano, è stata considerata “pratica commerciale scorretta”, in quanto “ingannevole” ai sensi degli artt. 20-22 c. cons., la condotta posta in essere da Facebook Inc. e Facebook Ireland Ltd., consistente nell’utilizzo del claim in cui si rimarcava la gratuità perpetua del servizio di social netowork, senza adeguate informazioni sull’effettiva utilizzazione per scopi commerciali dei dati personali degli utenti. Ebbene, alla luce del sopra ricordato indirizzo giurisprudenziale della Suprema Corte di Cassazione, reso nella sent. n. 17278 del 2018, v’è da evidenziare che potrebbe integrare una pratica commerciale scorretta anche la condotta di chi intenda subordinare al consenso al trattamento dei dati personali la fornitura di un servizio ritenuto infungibile e revocabile solo sopportando un gravoso pregiudizio (quale potrebbe essere eventualmente considerato il servizio di accesso ed utilizzo del noto social network). In tal caso, infatti, avremo una condotta che: (i) in materia di protezione dei dati personali, andrebbe ad integrare una violazione in tema di libertà (22) Cfr. Cass. 17278 del 2018, par. 2.5 delle motivazioni: «Nulla, infatti, impedisce al gestore del sito – beninteso, si ripete, in un caso come quello in questione, concernente un servizio né infungibile, né irrinunciabile –, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l’ordinamento non vieta lo scambio di dati personali, me esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato (…). In tema di consenso al trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy [ora art. 6, par. 1, lett. a), e 7 GDPR, n.d.a.], nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».
DIRITTO DI INTERNET N. 3/2020
539
GIURISPRUDENZA AMMINISTRATIVA del consenso dell’interessato (giacché i connotati di infungibilità e quello della gravosità del pregiudizio in caso di revoca finirebbero per vanificare la libertà di manifestazione del consenso medesimo); (ii) in materia di diritto contrattuale si tradurrebbe nell’invalidità o, comunque, nell’inefficacia del contratto; (iii) in materia di pratiche commerciali scorrette, sarebbe eventualmente suscettibile di essere inquadrata come pratica commerciale aggressiva, ai sensi degli artt. 20, 24 e 25 c. cons., in quanto potrebbe essere ritenuta idonea a falsare il comportamento economico del consumatore medio, per coercizione risultante da indebito condizionamento, finendo per (essere suscettibile di) limitare la libertà del consumatore-interessato, inducendolo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (si potrebbe ritenere, infatti, che il consumatore perda la libertà contrattuale ove, a fronte della fornitura di un servizio infungibile e revocabile solo con gravoso pregiudizio per l’interessato, sia costretto ad accettare ugualmente il contratto con contestuale cessione a fini commerciali dei dati personali, senza poter optare per la fornitura del medesimo servizio retribuita da corrispettivo in denaro, senza facoltà alcuna per il titolare del trattamento di utilizzare per scopi commerciali i dati personali del consumatore). In altre parole, ove il servizio abbia le caratteristiche di infungibilità e la revoca fosse esercitabile solamente con gravoso pregiudizio per l’interessato, occorrerebbe che a ciascun consumatore venisse accordata la facoltà di scelta sulle modalità di esecuzione della propria prestazione: (a) pagamento del servizio tramite corrispettivo in denaro, senza possibilità alcuna, da parte del provider, di trattare i dati personali per scopi commerciali, potendo al contrario porre in essere solamente quelle operazioni che siano strettamente necessarie al funzionamento del servizio medesimo; (b) conferimento dei dati per scopi commerciali, mediante consenso-autorizzatorio unilateralmente revocabile in qualsiasi momento, nell’ambito di un rapporto avente durata determinata o determinabile, secondo la disciplina vigente in materia di protezione dei dati personali. La scelta tra le due modalità di corrispettivo (che potrebbe essere omessa solamente qualora il servizio abbia le caratteristiche della fungibilità e dell’assenza di grave pregiudizio per l’interessato in caso di esercizio del diritto di revoca del consenso al trattamento) restituirebbe al destinatario del servizio sia la libertà di scelta contrattuale, quale consumatore, sia la libertà di autodeterminazione informativa, quale interessato al trattamento dei propri dati personali. Non si può da ciò evincere, tuttavia, l’esistenza del rischio di una duplicazione di sanzioni: basti a tal riguardo ricordare le argomentazioni resa dalla Corte di Cassazione in entrambi i casi sopra richiamati: anche ove inseriti nel medesimo contratto a titolo oneroso, il
540
DIRITTO DI INTERNET N. 3/2020
consenso-autorizzatorio, quale atto unilaterale con cui si accorda la facoltà di porre in essere atti di esercizio dei diritti su attribuiti della personalità (come le informazioni personali, tra cui l’immagine o altri dati personali), è da tenere concettualmente distinto dal consenso contrattuale reso per la formazione dell’accordo avente natura patrimoniale, in quanto il primo è a presidio dei diritti della personalità dell’individuo, mentre il secondo dei suoi interessi patrimoniali. Sicché anche i piani sanzionatori e rimediali, seppur in reciproca interrelazione, vanno concettualmente separati e quello in tema di pratiche commerciali scorrette conserva la propria autonomia.
PRASSI
Algoritmi e Search Engine Marketing: il caso Google Ads. Aspetti operativi e ricadute giuridiche di Gianluigi Passarelli Sommario: 1. Introduzione. La rilevanza del caso Google Ads ed i suoi risvolti. - 2. Le norme di applicazione necessaria come criteri e limiti nella interpretazione delle clausole generali regolative dell’autonomia privata. – 3. Alcune riflessioni sul meccanismo concorrenziale dei Search Engineering Marketing. - 4. Rilievi sulla correttezza della operazione economica e sulla meritevolezza delle pattuizioni imposte da Google. – 5. Riflessioni conclusive e sfide Partendo dalla analisi di una recente condotta adottata da Google sulla piattaforma di pubblicità online Google Ads, l’articolo intende fornire una traccia di riflessione su alcune pratiche commerciali utilizzate dai grandi colossi del web marketing, proponendo di approfondire le future sfide giuridiche e di mercato. Through the analysis of a recent conduct adopted by Google on the online advertising platform Google Ads, the essay provides insights on some commercial practices opted for by the giants of web marketing with the purpose to deepen the future legal and market challenges.
1. Introduzione. La rilevanza del caso Google Ads ed i suoi risvolti
L’avanzamento dello stato della tecnica, la continua evoluzione della Rete (1) ed il rapido sviluppo del web marketing impongono al giurista contemporaneo approfondite riflessioni. È noto che il web marketing si basa su algoritmi sempre più sofisticati e funzionalmente ha forti ripercussioni anche sul mercato e sulla concorrenza fra imprese; specialmente in questo delicato momento legato alla crisi sanitaria mondiale scatenata dalla pandemia Covid-19, in cui il web sta avendo un ruolo centrale – probabilmente lo avrà ancora di più - nell’acquisto di prodotti e servizi (2). In pratica, Google, Facebook, Instagram molto spesso oltre ad avere la funzione di mero motore di ricerca o, come nel caso degli ultimi, di social network hanno - per quanto successivamente si chiarirà - anche la potenzialità di generare veri e propri modelli di business. Difatti, il vantaggio competitivo rispetto ad altri media è rappresentato dalla loro capacità di generare inserzioni pubblicitarie, i cosiddetti “link sponsorizzati”, strettamente
collegate con i risultati organici delle ricerche (3). In tale contesto, non mancano coloro che propugnano per il controverso principio della neutralità della ricerca su internet arrivando addirittura a qualificarla come “bene pubblico” (4). Preso atto di ciò, ad oggi uno strumento attraverso cui è possibile generare veri e propri modelli di business è Google AdWords, oggi denominato “Google Ads” (5), che è un potente servizio che ha forti ripercussioni non solo sul mercato ma altresì sulla concorrenza tra imprese (6). In pratica, Google Ads è un programma di performance marketing, ovvero uno strumento attraverso cui l’advertiser, ovvero colui che promuove la propria azienda, paga un servizio per avere precisi risultati che sono tracciabili e misurabili. In breve, è un servizio di posizionamento pubblicitario online e rappresenta la principale fonte di profitto per il gruppo Google: già nel 2013, grazie
(3) Visco Comandini, Google e i mercati dei servizi di ricerca su internet, in Mer., conc. reg., 2013, 564. (1) Appare molto calzante la similitudine che Susan Crawford rileva tra internet e l’elettricità. La politologa sottolinea: “truly high-speed wired Internet access is as basic to innovation, economic growth, social communication, and the country’s competitiveness as electricity was a century ago”. Così riportato da Gustin, Is Broadband Internet Access a Public Utility?, reperibile al link <http://business.time.com/20l 3/01/09/ is-broadband-Internet-access-a-publicutility>. (2) Lo ha sottolineato recentemente altresì il New York Times nel seguente articolo reperibile al link <https://www.nytimes.com/interactive/2020/04/07/technology/coronavirus-internet-use.html>.
(4) In particolare alcune associazioni come <www.netneutrality.org> e <www.fairsearch.org>. (5) Cfr. What Is Google Adwords?, in Google, reperibile al link <https://ads.google.com/intl/en_IT/home/>. (6) Sebbene con esclusivo riferimento alla tutela dei marchi non registrati cfr. Trib. Milano sez. spec. Imprese, 8 novembre 2019, in questa Rivista, 2020, 73 ss. con commento di La Rosa, Adwords e concorrenza sleale. Per la prospettiva in generale di una efficace tutela, nel mondo di Internet, Cassano - Tassone, Turbo ingiunzione dinamica. Il futuro della tutela delle opere cinematografiche e non solo, in questa Rivista, 2020, 73.
DIRITTO DI INTERNET N. 3/2020
541
PRASSI a tale servizio, ha avuto ricavi per oltre 50 miliardi di dollari. (7) A differenza della pubblicità sui mass media o sui social network, con Google Ads l’inserzionista non paga per la semplice visualizzazione dell’annuncio pubblicitario da parte dell’utente, bensì pagherà il servizio solo nel caso in cui l’utente compie un’azione ovvero quella di “cliccare” sull’annuncio per approfondire il prodotto o il servizio pubblicizzato. Tale sistema si basa sul pay per click (ppc) ovvero su quella formula che richiede un esborso da parte dell’inserzionista, solo nel caso in cui il link o annuncio pubblicizzato viene effettivamente cliccato da un utente. (8) È chiaro che i vantaggi connessi a questo strumento sono molteplici ed alquanto seducenti per le imprese che aspirano alla massimizzazione del profitto ed ad una adeguata visibilità anche oltre i confini nazionali e, per converso, ad acquisire un vantaggio competitivo sul mercato. (9) Ne discende che, ad oggi, non è più possibile fare a meno dell’ advertising online (10) in quanto tale “web window” va assumendo sempre di più un ruolo rilevante nel determinare la forza di mercato dell’inserzionista non solo perché gli consente di acquisire nuova clientela ma anche per consolidare la propria reputazione commerciale. (11)
In questa prospettiva Google, per competenza e lungimiranza ma anche perché rappresenta il sito più visitato al mondo (12), ha di fatto monopolizzato il Search Engine Marketing (13) (di seguito per brevità SEM), ovvero quelle piattaforme che rappresentano uno strumento essenziale, se non indispensabile, per le imprese che vogliono operare - soprattutto dopo la attuale crisi sanitaria mondiale - nella nuova era della globalizzazione. (14) Muovendo da siffatte premesse, al fine di comprendere al meglio la forte influenza di Google Ads anche sul mercato e sulla concorrenza tra imprese, appare opportuno prendere in considerazione una recente pratica utilizzata da Google. In breve, molte società, in specie quelle che operano su territori internazionali, dai primi anni del nuovo secolo hanno deciso di tentare di ampliare la loro clientela utilizzando Google Ads. Pertanto gli inserzionisti hanno accettato termini e condizioni di Google aderendo al contratto standard che, tra l’altro, all’ art. 12 così statuisce: “Google si riserva la facoltà di apportare modifiche non sostanziali ai presenti termini in qualsiasi momento, senza preavviso”. (15) In tale contesto Google nel 2017, cogliendo di sorpresa gli inserzionisti di tutto il mondo, con il seguente “tweet” (cfr. fig. 1) modificava unilateralmente tutte le condizioni economiche dei contratti stipulati prima della predetta data, stabilendo che gli inserzionisti, da quel momento, avrebbero potuto spendere fino al doppio del budget giornaliero medio. (16)
(7) Cfr. <https://www.investopedia.com/articles/personal-finance/121714/how-internet-web-ad-industry-works.asp> secondo cui “A majority of Google’s revenue is generated from advertising. Google’s online advertising programs, AdWords and AdSense, generated $50 billion of Google’s $57 billion in revenue in 2013”. (8) Per alcuni spunti sui servizi offerti da Google Ads cfr. in particolare Corte giust. UE 23 marzo 2010, c. 236/08 e c. 238/08, Google France SARL c. Luis Vitton Malletier SA, in Giur. it., 2010, p. 7 ss., con nota di Ricolfi, Motori di ricerca, link sponsorizzati e diritto dei marchi: il caso Google di fronte alla Corte di giustizia, il quale descrive il servizio AdWords in questi termini: «Tale servizio consente a qualsiasi operatore economico di far apparire un link pubblicitario verso il suo sito mediante la selezione di una o più parole chiave, qualora tale o tali parole coincidano con quella o quelle contenute nella richiesta indirizzata da un utente di Internet a un motore di ricerca». Importante è poi sottolineare che «l’ordine in cui vengono visualizzati i loro link pubblicitari (...) sarà determinato, in particolare, in base al prezzo massimo per click». (9) Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Dir. inf. e inform., 2018, 789. Sul tema, pur se in un contesto prettamente economico, si veda Visco Comandini, cit., 551, il quale rileva che i motori di ricerca hanno un ruolo chiave anche nello sviluppo del mercato per “il beneficio informativo che gli utenti ricevono con la pubblicità, che cresce all’aumentare della rilevanza dei contenuti cercati da ogni singolo utente”. (10) Montanari, Questions and Answers on Adwords’ cases, in Dir. comm. int., 2012, 150; è questa la conclusione cui perviene l’autore il quale rileva che: “Online advertising is the world’s largest and fastest growing channel of commerce”. (11) Ibid, 147.
542
DIRITTO DI INTERNET N. 3/2020
(12) Cfr. le statistiche reperibili al link <http://scripts.ranking.com/ data/login.aspx?msgid=1&nextpage=http%3a%2f%2fscripts.ranking. com%2fdata%2fdetails.aspx%3ftheurl%3dgoogle.com>. (13) Altri lo definiscono “Search Engine Advertising” (SEA). (14) Zuboss, The Age of Surveillance Capitalism, London: Profile Books Ltd, 2019; Alves Rodrigues, “Digital Gangsters”: Are Facebook and Google a Challange to Democracy?, in Amst. Law For., 2019, 30 ss. in particolare 37, la quale, disegnando efficacemente i contorni, sostiene: “Facebook and Google are almost indispensable in the 21th century”. (15) Il contratto è consultabile al seguente link <https://payments.google.com/payments/apis-secure/get_legal_document?ldi=96738>. (16) Google giustifica tale condotta rappresentando che alcuni annunci potrebbero essere pubblicati più frequentemente quando aumenta il traffico di clienti.
PRASSI In pratica Google giustifica tale modifica delle condizioni contrattuali, rappresentando che una “sovrapubblicazione” gioverebbe all’inserzionista, in quanto questi avrebbe la possibilità di spendere sino al doppio del budget giornaliero minimo stabilito. In realtà tale meccanismo, che solo apparentemente sembrerebbe andare incontro alle esigenze dell’inserzionista, gli crea ingenti pregiudizi economici; di contro c’è un profitto aggiuntivo ed ingiustificato di Google. Tali osservazioni trovano fondamento sotto due differenti profili. Da un lato nella circostanza che l’inserzionista non potrà disattivare questo nuovo meccanismo di “sovrapubblicazione” che è stato unilateralmente imposto dal contraente forte (Google) a discapito di quello debole (inserzionista). Ciò si traduce, ad avviso di chi scrive, piuttosto che in un atteggiamento di “collaborazione” da parte di Google, in un’arbitraria ed illegittima “appropriazione”. Dall’altro lato il rischio è che l’inserzionista spenderà quel budget mensile, che solitamente impostava sino alla predetta modifica unilaterale, molto prima della fine del mese e, quindi, al fine di garantire la presenza del proprio link sponsorizzato sarà obbligato al pagamento di ulteriori somme. Un esempio concreto potrebbe consentire un inquadramento dell’intera questione: se il 1 dicembre l’inserzionista ha un budget mensile di $ 100 ed i “picchi” del traffico raggiungeranno il massimo durante i giorni 7 e 8 dicembre, si assisterà al concreto rischio che dal 9 dicembre l’intero budget mensile già sarà terminato. La conseguenza è che l’inserzionista al fine di assicurare la continuità delle inserzioni dalla data del 9 dicembre in poi sarà obbligato ad aumentare il budget mensile precedentemente impostato. Tale circostanza, se da un lato comporta gravi disagi alle strategie pubblicitarie degli inserzionisti basate sulla continuità delle inserzioni per un certo periodo di tempo, dall’altro si traduce in un ulteriore ingiustificato profitto di Google che, con un atto unilaterale, ha di fatto imposto agli inserzionisti un aumento del budget mensile al fine di garantire la continuità della pubblicità dei propri prodotti/servizi. In definitiva, la predetta pratica utilizzata da Google, ha certamente degli interessanti profili giuridici che impongono al giurista contemporaneo delle risposte che il presente lavoro proverà ad offrire o forse, più modestamente, tenterà di proporre una traccia di riflessione.
2. Le norme di applicazione necessaria come criteri e limiti nella interpretazione delle clausole generali regolative dell’autonomia privata
Prima di entrare nel merito delle pratiche utilizzate da Google, una questione preliminare da affrontare è quella relativa ai profili di diritto internazionale privato, con
particolare riferimento alle cd. norme di applicazione necessaria (mandatory rules) che sono comunemente qualificate, riprendendo quanto statuito dalla Corte di Giustizia Europea, (17) come “le disposizioni la cui osservanza è stata reputata cruciale per la salvaguardia dell’organizzazione politica, sociale o economica dello Stato membro interessato, al punto da imporne il rispetto a chiunque si trovi nel territorio nazionale di tale Stato membro o a qualunque rapporto localizzato nel suo territorio”. Invero, riprendendo anche quanto statuito dal Regolamento Roma I sulle obbligazioni contrattuali, queste sono “disposizioni il cui rispetto è ritenuto cruciale da un paese per la salvaguardia dei suoi interessi pubblici, quali la sua organizzazione politica, sociale o economica, al punto da esigerne l’applicazione a tutte le situazioni che rientrino nel loro campo di applicazione, qualunque sia la legge applicabile” (18). Se si aderisce a tale inquadramento, come è plausibile, è chiaro che i precetti di natura costituzionale devono trovare diretta applicazione quali “norme di applicazione necessaria”. (19) Pertanto, l’operatività delle norme costituzionali quali mandatory rules trova applicazione al pari di quanto avviene con riferimento all’ordine pubblico “costituzionalizzato”. Applicando siffatti concetti al caso di Google Ads che qui si esamina, al fine di qualificare come illecita o meno la condotta adottata da Google, il giurista contemporaneo dovrà tenere conto degli artt. 3.2 e 41 della Costituzione, essendo i precetti costituzionali relativi al principio di eguaglianza sostanziale nonché alla libertà di iniziativa economica (20) qualificabili come norme di applicazione necessaria. Difatti, l’art. 3.2 della nostra Carta Costituzionale regola i rapporti economici fra privati ed è regolazione mirante essenzialmente a dare articolato e dispiegato contenuto agli obiettivi di liberazione e di
(17) Corte di Giustizia Europea del 23 novembre 1999 - Procedimenti penali a carico di Jean-Claude Arblade e Arblade & Fils SARL (C369/96) e Bernard Leloup, Serge Leloup e Sofrage SARL (C-376/96). - Domande di pronuncia pregiudiziale: Tribunal correctionnel de Huy - Belgio. - Libera prestazione dei servizi - Trasferimento temporaneo di lavoratori per l’esecuzione di un contratto - Restrizioni. - Cause riunite C-369/96 e C-376/96, in <www.dejure.it>. (18) Art. 9 Regolamenti UE Roma I. (19) Così Ballarino, Costituzione e diritto internazionale privato, Padova, 1974, 65 ss.; Bertoli, Costituzione, in Baratta, Diritto internazionale privato, Irti (cur.), Dizionari di Diritto Privato, Milano, 2010, 89. Per una riflessione sul rapporto tra Costituzione ed internet cfr. Tinello, Diritto delle tecnologie informatiche e principi costituzionali, in Cassano (cur.), Diritto delle nuove tecnologie informatiche e dell’internet, Milano, 2002. (20) Cfr. La esaustiva ricostruzione di Galgano, Rapporti Economici, sub Artt. 41 – 44, in Branca (cur.), Commentario alla Costituzione, Bologna, 1982, 4, secondo cui per “iniziativa economica” si intende “l’attività di chi utilizza la ricchezza per produrre nuova ricchezza”.
DIRITTO DI INTERNET N. 3/2020
543
PRASSI emancipazione. (21) In sintesi, il principio di eguaglianza viene qualificato come un precetto costituzionale operante non solo come limite alla legge ordinaria ma anche come limite all’autorità negoziale, ossia come una norma direttamente precettiva per i privati. (22) Ergo, lo Stato deve sostenere ed aiutare i soggetti svantaggiati per condizioni di salute, sociali ma anche qualora si trovino in una condizione di disparità economica rispetto alla controparte contrattuale. Corollario di tale assunto, ad avviso di chi scrive, è quello secondo cui l’autonomia negoziale trova suo precipuo limite nella meritevolezza dell’interesse perseguito e nel rispetto delle norme inderogabili. (23) Ne discende che l’autonomia negoziale non può trasformarsi in uno strumento di abuso della parte forte a danno degli altri e, nel caso in cui si assistesse ad una pratica simile, è compito del giudice intervenire per rimuovere gli ostacoli contrastanti anche con i precetti costituzionali. (24) Quanto, invece, all’articolo 41 Cost. - che secondo autorevole dottrina rappresenta una “norma di diritto privato in un testo costituzionale, ossia di norme regolatrici dei rapporti fra privati” (25) – tale precetto costituzionale tutela la libertà di iniziativa economica non soltanto nella fase iniziale di scelta dell’attività ma anche nei successivi momenti del suo svolgimento, quindi in tutte le fasi della sua attività.
In punto sistematico, è stato statuito che sono costituzionalmente illegittimi i condizionamenti e i vincoli tali da costituire un grave ostacolo all’esercizio della libertà di iniziativa economica o che, come la giurisprudenza costituzionale ha più volte rimarcato (26), determinino trasformazioni radicali nella natura e nella causa dei contratti in corso. Ne discende, quindi, che l’autonomia contrattuale deve cedere di fronte a motivi di ordine superiore. (27) Ciò impone che il giudicante sarà tenuto ad una accurata verifica di tutte le pratiche utilizzate e, quindi, della congruità tra mezzi e fini. In tale contesto costituzionalizzato è chiaro che la tutela dell’equilibrio dei rapporti contrattuali, in relazione alla imposizione di condizioni eccessivamente gravose o inique come quelle utilizzate nel caso di specie da Google, deve essere qualificata come una norma di applicazione necessaria (28), proprio per la posizione dominante che tale motore di ricerca ha sul mercato (29). In definitiva, alla luce della predetta “analisi costituzionalmente orientata”, appare ovvio ritenere che la pratica utilizzata da Google Adwords, ovvero la modifica unilaterale delle condizioni economiche in virtù del potere conferitogli dalla citata clausola contrattuale, viola i predetti precetti costituzionali e, come tale, è illegittima.
(21) Galgano, cit., 3.
Nel gergo comune, sempre più spesso, viene utilizzata l’espressione “Google it”; diversamente non è comune utilizzare espressioni che si riferiscono ad altri motori di ricerca, come potrebbe essere “Do you yahoo it?”. (30)
(22) Così autorevolmente Bianca, Le autorità private, Napoli, 1977, 5. (23) Sull’argomento si rinvia a Lombardi, Potere privato e diritti fondamentali, Torino, 1970; Perlingieri, Il diritto civile nella legalità costituzionale, Napoli, 1984; Cassano, Diritto dell’Internet. Il sistema di tutele della persona, Milano, 2005. (24) Al fine di rendere comprensibile quanto si asserisce si rinvia a quanto rileva Bianca, Diritto civile, III, Milano, 33 ss., secondo il quale “Ė difficile dire in che misura il principio di solidarietà incida direttamente sull’autonomia privata. Ė un dato di fatto che la nostra giurisprudenza appare poco propensa ad esercitare un controllo sui contratti applicando il principio di solidarietà o norme del codice che ad esso possono ricondursi, come la norma sulla buona fede. Ė anche certo però che il principio di solidarietà giustifica e anzi impone l’intervento della legge là dove il principio dell’autonomia privata non è sufficiente ad assicurare giusti rapporti. Già tradizionalmente si è riconosciuto che al monopolista legale deve limitarsi la libertà di stipulazione (libertà sul se del contratto) per evitare un’arbitraria discriminazione del consumatore. Ma il problema interessa soprattutto la libertà di determinazione del contenuto del contratto (indicata in Germania come Gestaltungsfreiheit), e si pone particolarmente con riguardo ai contratti di massa, che si caratterizzano per una istituzionale disparità socio-economica tra predisponente ed aderente”. Censura invece i casi di parità di trattamento nel diritto privato direttamente alla norma costituzionale (art. 3 Cost.), Rescigno, Sul cosiddetto principio di uguaglianza nel diritto privato, in Foro it. 1996, I, 666, nota a Corte di Appello di Genova 21 aprile 1959, secondo cui “[…] se così fosse, l’autonomia privata ne risulterebbe completamente distrutta, per i limiti assurdi che si finirebbe per porre alla libertà di contrarre, di testare, di disporre”. (25) Così testualmente Galgano, Rapporti Economici sub Art. 41 – 44, cit., 1.
544
DIRITTO DI INTERNET N. 3/2020
3. Alcune riflessioni sul meccanismo concorrenziale dei Search Engineering Marketing
(26) Ex multis Cort. Cost. n. 53 del 6.4.1974 e n. 138 del 7.5.1984, in <www.dejure.it>. (27) Sul punto si rinvia a Nuzzo, Utilità sociale e autonomia privata, 1974, Milano; Mazzoni, Trattato di diritto commerciale, I, 317 ss. (28) Per questa notazione, pur se in altro contesto, si veda Draetta –Parisi, Clausole inique nei contratti stipulati tra imprese, Milano, 2002, 38. (29) Per un’articolata riflessione sul campo operativo del concetto di posizione dominante cfr. Corte di Giustizia UE, Hoffmann-La Roche, C-85/76 sent. 13 febbraio 1979, in <www.dejure.it> che statuisce che per posizione dominante si intende quella che consente ad un’impresa o ad un gruppo di imprese di determinare la propria condotta in modo sensibilmente indipendente dai suoi concorrenti, dai suoi clienti e, in ultima analisi dai consumatori finali dei suoi prodotti o servizi. (30) Sul tema si veda Hoppner, Duty to Treat Downstream Rivals Equally: (Merely) a Natural Remedy to Google’s Monopoly Leveraging Abuse, in Eur. Comp. Reg. Law Rev., 2017, III, 208 ss.; Mays, The Consequence of Search Bias: How Application of the Essential Facilities Doctrine Remedies Google’s Unrestricted Monopoly on Search in the United States and Europe, in George Wash. Law Rev., 2015, 747 - 748, che chiaramente rileva: “[…] Google holds close to seventy percent of the market share of search in the United States and ninety percent of the European market. […] In assessing the strenght of the market, Amercian courts often find that a market share of forty to seventy percent may be a monopoly, while seventy percent and
PRASSI
In effetti, con l’espressione “Google it”, oramai, nel gergo comune si vuole intendere “trovare qualcosa su internet”. Al di là del significato di tali espressioni, il predetto modo di dire lascia facilmente comprendere quanto sia condizionante una scelta o operazione commerciale di Google per tutti gli utenti di internet e, quindi, anche per gli inserzionisti di Google Ads oramai, per quanto si dirà innanzi, “sudditi” delle sue scelte unilaterali. (31) Ciò lascia intendere che la quota di mercato di Google Ads assorbe tutte le altre aziende “concorrenti” in quanto gli inserzionisti preferiscono pubblicizzare i propri prodotti o servizi su Google Ads piuttosto che sul quasi sconosciuto Bing Ads che è la piattaforma analoga utilizzata da Yahoo!, in realtà unico potenziale “competitor” di Google. Difatti, i “concorrenti” di Google Ads se da un lato hanno prezzi decisamente più competitivi, dall’altro hanno un raggio di azione e di interazione della clientela estremamente ridotto (32) rispetto a quello di Google. In pratica Google fa la differenza rispetto agli altri “competitors” perché domina il settore dei search tools in
over is usually a monopoly, and European courts find a market share of over forty percent a monopoly. Moreover, the number of years that Google has dominated search also supports a finding of abuse of monopoly power. Therefore, both the direct and circumstantial evidence supports that Google has a monopoly”. (31) Tra l’altro è ben noto che Google ha un algoritmo di ricerca le cui caratteristiche di funzionamento sono coperte da segreto industriale. (32) In alcuni studi italiani lo rileva altresì Visco Comandini, cit., 564, secondo cui: “Google è l’operatore dominante che realizza il maggior volume di ricerche, che gli consente di migliorare in modo pressocchè continuo il proprio algoritmo di ricerca sfruttando al meglio le esternalità indirette sussistenti fra navigator, inserzionisti e siti di soggetti terzi. I ricavi per transazione di Google sono oggi più elevate di quelli di Bing e Yahoo! Grazie al più alto tasso di click ricevuto sulle inserzioni”.
quanto viene qualificato dagli utenti come “Il motore di ricerca”. Da qui la motivazione prettamente commerciale per cui la quasi totalità degli inserzionisti preferisce pubblicizzare i propri annunci su Google Ads. Orbene, tale assunto trova conferma anche in alcuni studi di settore (33), secondo cui Yahoo! ed i suoi strumenti sono molto meno utilizzati rispetto a quelli di Google e, tra l’altro, sono di uso comune prevalentemente nel mercato statunitense rispetto a quello europeo. (34) In tale contesto corre l’obbligo di ricordare che il principio della libertà di iniziativa economica privata, secondo la lettura costituzionalmente orientata già sopra citata, deve essere applicato tenendo conto dell’utilità generale, non essendo legittimo interferire sull’attività di singoli operatori a tutto vantaggio di un’altra categoria. (35) Ad avviso di chi scrive, corollario di tale assunto è che la libertà di concorrenza viene intesa come una naturale espressione dello svolgimento della libertà di iniziativa economica. (36) Difatti, è stato osservato che libertà della concorrenza (o libertà del mercato) è “la (33) Mays, The Consequence of Search Bias: How Application of the Essential Facilities Doctrine Remedies Google’s Unrestricted Monopoly on Search in the United States and Europe, cit., 727, che chiaramente sostiene: “There are two structurally different types of search engines: horizontal and vertical. Horizontal search engines include Google, Bing, and Yahoo. When the user enters a term into a horizontal search engine, it searches the entire Internet. Google dominates horizontal search and possessed 64,4% of the market in the United State sas of January 2015, and approximately 90% of the market in Europe”. (34) La tabella è ripresa da Visco Comandini, cit., 553. (35) Sul tema si veda anche Corte Cost. nr. 78 del 30 novembre 1958 reperibile al seguente link <http://www.giurcost.org/decisioni/1958/0078s-58.html>. (36) Si veda altresì Niro, sub Art. 41 Cost., in Bifulco – Celotto - Olivetti (cur.), Commentario alla Costituzione, Torino, 2006, 851.
DIRITTO DI INTERNET N. 3/2020
545
PRASSI risultante della convergente presenza, in un dato settore, di una pluralità di operatori e di una disciplina giuridica che predetermina le regole del gioco valide per tutti nella stessa misura”. (37) Se si aderisce a questa impostazione, appare ovvio che si debba conseguentemente ritenere che la regolazione del mercato deve essere diretta a garantire misure simmetriche e, pertanto, non solo consentendo l’accesso da parte di tutti gli operatori al mercato, ma altresì garantendo obblighi di informazione sulle “regole del gioco”, nonché sulla trasparenza e correttezza delle operazioni durante l’intera fase di esecuzione del contratto. Le considerazioni che precedono consentono di sostenere, con fermezza, che la predetta pratica (38) utilizzata da Google è abusiva in quanto determina - approfittando della propria posizione dominante (39) - a discapito dell’inserzionista un eccessivo squilibrio di diritti ed obblighi (40). In tale contesto, preme altresì rimarcare che le condotte proibite dalla legge nr. 287 del 1990 relative alle intese ed abusi di posizione dominante, sono in buona parte analoghe a quelle che vietano l’abuso di dipendenza economica di cui all’art. 9 della legge n. 192 del 1998 (41). Muovendo da tale assunto appare necessario richiamare quella corrente di pensiero (42), oramai consolidata, che ritiene che l’abuso di dipendenza economica (43) (37) Con queste parole Pace, Libertà “del” mercato e “nel” mercato, in Pol. Dir., 1993, 177.
249 ss.; Cassano – Catricalà - Clarizia, Concorrenza, Mercato e Diritto dei Consumatori, Torino, 2018.
(38) Cfr. § 1.
(44) Su tutte Cass. Sez. Un. Ord. 25 novembre 2011 n. 24906, in <www. dejure.it> .
(39) Sul punto preme rilevare che, da ultimo, l’Autorità antitrust francese ha inflitto a Google una multa di 150 milioni di euro per abuso di posizione dominante. Sotto accusa ci sono proprio le regole della piattaforma Google Ads che, secondo l’Autorità della concorrenza francese, utilizzerebbe delle condizioni contrattuali “opache e difficilmente comprensibili”. Tra l’altro l’Autorità ha altresì ordinato a Google di “chiarire le regole operative della sua piattaforma pubblicitaria Google Ads e le procedure per la sospensione degli account di alcuni inserzionisti”. Per un commento al predetto provvedimento cfr. Baccaro, in questa Rivista, in data 13 Gennaio 2020.
(45) In questo senso Delli Priscoli, L’abuso di dipendenza economica nella nuova legge sulla subfornitura: rapporti con la disciplina delle clausole abusive e con la legge antitrust, in Giur. Commerciale, 1998, I, 838. Il quale sostiene: “[…] in tanto è possibile imporre clausole abusive in quanto un’impresa disponga, da sola o congiuntamente ad altre di una posizione di monopolio, perché è evidente il consumatore [inserzionista], se avesse la possibilità di rivolgersi ad un’altra impresa che fornisca gli stessi beni o servizi senza inserire clausole abusive nei contratti, non sarebbe disposto ad accettare queste clausole”.
(40) Sulla volontà contrattuale e sullo squilibrio delle posizioni delle parti nei contratti informatici si rinvia a Finocchiaro, I contratti informatici, in Galgano (cur.), Trattato di diritto commerciale e di diritto pubblico dell’economia, Padova, 1997, 51 ss. (41) Si rinvia a Catalano, L’abuso di dipendenza economica, Napoli, 2009, 58 ss. (42) Tra tanti Lipari, Parte generale del contratto e norme di settore nel quadro del procedimento interpretativo, in Riv. trim. dir. proc. civ., 2008, 4, il quale evidenzia che tale possibilità si riconnette alla necessaria circolarità del processo interpretativo del diritto e riporta l’ampia dottrina favorevole ad un’estensione in via analogica della norma. (43) La norma all’ art. 9 par. 2 contiene tre ipotesi, meramente esemplificative di abuso: il rifiuto di vendere o comprare, la imposizione di condizioni contrattuali ingiustificatamente gravose o discriminatorie e la interruzione arbitraria di relazioni commerciali. Sul punto si veda Mazziotti di Celso, Abuso di dipendenza economica, in Alpa – Clarizia (cur.), La subfornitura Commento alla Legge 18 giugno 1998, n. 192, Milano, 1999,
546
configura una fattispecie di applicazione generale, che può prescindere dall’esistenza di uno specifico rapporto di subfornitura, la quale presuppone una situazione di dipendenza economica di un’impresa cliente nei confronti di una sua fornitrice nonché un significativo squilibrio di diritti e di obblighi. (44) Pertanto, esaminando la disciplina dell’abuso di dipendenza economica, congiuntamente con la legge antitrust, se ne ricava che tali strumenti mirano ad impedire gli abusi di coloro che possono sfruttare una posizione di monopolio relativo o assoluto, ovvero di una scarsa presenza di concorrenza. (45) Invero, partendo da tali considerazioni e da quella lettura normativa volta a riscontrare quelle situazioni di restrizione effettiva o potenziale della concorrenza, pare sostenibile quella tesi che ritiene che l’impresa che abusa di una posizione di dipendenza economica si trova in una posizione analoga a quella di chi gode di una situazione di monopolio, proprio per l’impossibilità da parte di chi subisce l’abuso, di reperire sul mercato alternative soddisfacenti. (46) Dalle considerazioni che precedono se ne deduce che certamente non è semplice determinare se una società abbia abusato del suo potere “monopolistico” (47) e/o della sua forte influenza sul mercato. Ad ogni modo,
DIRITTO DI INTERNET N. 3/2020
(46) Id., p. 839. In realtà alcuna giurisprudenza di merito cfr. Trib. Milano 6 dicembre 2017, in <www.dejure.it>, distingue l’abuso di dipendenza economica dall’abuso di posizione dominante, statuendo che: “mentre l’abuso di posizione dominante, rilevante per integrare la fattispecie antitrust, comporta la necessità di individuare anzitutto il mercato rilevante, l’abuso di dipendenza economica attribuisce rilievo non alla posizione dominante di un’impresa sul mercato, ma all’abuso e allo squilibrio delle imprese nell’ambito di un rapporto negoziale. […] Non è decisivo, invece, che l’abuso di dipendenza economica sia previsto dal legislatore espressamente con riguardo solo alla fattispecie della subfornitura nelle attività produttive, poiché, per giurisprudenza costante, esso rappresenta un principio generale”. (47) Per questa analisi si rinvia a Mays, The Consequence of Search Bias: How Application of the Essential Facilities Doctrine Remedies Google’s Unrestricted Monopoly on Search in the United States and Europe, cit., 736 che rileva “determinig wheter a firm has abused its monopoly power is a complex process that requires two steps. First, the firm must have substantial market power, and, second, the firm must have behaved improperly to gain or sustain its market power”.
PRASSI muovendo dalle considerazioni sin qui svolte (48), sembrerebbe che la pratica utilizzata da Google Ads è abusiva (49), in quanto trattasi - per quanto sopra rilevato - di uno sfruttamento abusivo condotto da una impresa che gode di una posizione dominante sul mercato. Difatti, nel caso di specie, è palese che non vengono bilanciati gli interessi sia della concorrenza che degli inserzionisti; con la conseguenza che è stata non solo alimentata l’incertezza delle condizioni di mercato ma altresì pregiudicata la concorrenza in quanto sono state lese alcune caratteristiche del mercato, ovvero quelle che Irti (50) identifica nella “pluralità di offerte” e “lealtà della informazione”. Detto in parole povere Google, approfittando della sua posizione dominante e della “esclusività” dello strumento di Google Ads, è stato “arbitro dei prezzi” (51) con l’obiettivo di conseguire maggiori profitti, o meglio quello che è stato autorevolmente definito da Galgano “super profitto monopolistico” (52). Tutto ciò a discapito degli inserzionisti che non solo hanno subito un aumento ingiustificato dei prezzi ma che, oltretutto, non possono beneficiare dei vantaggi – come potrebbe essere il passaggio ad altra società di search tools concorrente – che un sano mercato concorrenziale avrebbe potuto garantire.
4. Rilievi sulla correttezza della operazione economica e sulla meritevolezza delle pattuizioni imposte da Google
È stato osservato che i contratti di durata dovrebbero consentire un adeguamento del rapporto e, quindi, un accordo sempre attuale e funzionale alla migliore e reciproca soddisfazione delle parti. (53) Difatti, frequentemente, le condizioni contrattuali riconoscono ad una delle parti il diritto potestativo di modificare le condizioni che regolano il rapporto mentre l’altra parte - solitamente quella che aderisce al contratto - è disposta ad accettare lo ius variandi, confidando che la controparte rispetterà il vincolo fiduciario, attenendosi al principio di buona fede oggettiva. L’ipotesi ora tratteggiata trova precipua estrinsecazione nella fattispecie in rassegna. Difatti, il modello di busi (48) Si veda, più in generale, anche quanto recentemente statuito dall’ Autorità antitrust francese, cfr. supra nota 39, reperibile al seguente link <https://www.autoritedelaconcurrence.fr/fr/communiques-de-presse/ lautorite-sanctionne-google-hauteur-de-150-meu-pour-abus-de-position>. (49) Cfr. supra § 2. (50) Irti, Persona e mercato, in Riv. Dir. Civ., 1995, I, 289 ss. (51) Questa l’espressione che viene utilizzata, sebbene in altro contesto, da Galgano, Rapporti Economici Art. 41 – 44, cit., 11. (52) Così Galgano, Il diritto commerciale in 25 lezioni, Milano, 2007, 52. (53) Sul punto si rinvia tra tanti a Macario, Adeguamento e rinegoziazione nei contratti a lungo termine, Napoli, 1996.
ness adottato da Google Ads e la abusività/illegittimità della pratica utilizzata, trova ulteriore conferma, per quanto si dirà, nella mera lettura del contratto standard (54) a cui l’inserzionista è obbligato ad aderire. In particolare quanto assunto lo si rileva dalla mera lettura della già citata clausola indicata all’art. 12 delle condizioni generali di contratto (55), ove in sostanza Google si riserva la facoltà di apportare modifiche alle condizioni del contratto in qualsiasi momento. Al di là delle considerazioni di carattere pratico sul caso de quo, appare probabilmente più agevole, al fine di un miglior inquadramento dell’intera questione, dapprima rilevare che il concetto di ius variandi da parte del preponente non è di per sé non iure, ma lo diventa se nella sua valutazione questo non sia stato esercitato correttamente ovvero senza una giusta causa; in sintesi, l’autonomia negoziale trova il suo precipuo limite nella meritevolezza dell’interesse perseguito e nel rispetto delle norme inderogabili. (56) Muovendo da tale assunto, appare chiaro che la clausola de qua è vessatoria perché ha violato il cd. “obbligo di salvaguardia” ovvero quell’obbligo giuridico a carico di ciascuna parte di comportarsi con lealtà e di salvaguardare l’utilità dell’altra nei limiti in cui ciò non comporti un apprezzabile sacrificio a suo carico. Al fine di garantire un miglior inquadramento della violazione dei canoni di correttezza da parte di Google, appare opportuno in tale sede ricordare che Bianca (57) disegna efficacemente i contorni del principio di buona fede nella esecuzione del contratto, statuendo che questo è diviso in due fondamentali canoni di condotta: da un lato la lealtà del comportamento il cui fondamento costituzionale è nel principio di solidarietà (art. 2 Cost.) e che trova applicazione soprattutto nella interpretazione del contratto; dall’altro, invece, l’obbligo di salvaguardia, che impone a ciascuna delle parti di agire evitando di pregiudicare gli interessi dell’altra. Ne discende che l’obbligo di buona fede è tale, in quanto strumentale al conseguimento dei risultati economici contrattuali ed alla realizzazione
(54) Reperibile al seguente link <https://payments.google.com/payments/apis-secure/get_legal_document?ldi=96738>. (55) Cfr. supra § 1. (56) Per alcuni significativi contributi in questa direzione cfr. Rescigno, Persona e comunità, Padova, 1986; Perlingieri, Eguaglianza, capacità contributiva e diritto civile, Napoli, 1988. Con riferimento ai contratti del consumatore Zoppini, Sul rapporto di specialità tra norme appartenenti ai “codici di settore” (Lo ius variandi nei codici del consumo e delle comunicazioni elettroniche), in Riv. dir. civ., 2016, I, 136 ss. In giurisprudenza con riferimento al contratto di agenzia ed al potere del preponente di modificare unilateralmente cfr. Cass. Civ. Sez. lav., 2 maggio 2000 n. 5467, in Corr. Giur., 2000, VIII, 1029 ss., con commento di Di Ciommo. (57) Bianca, Diritto civile. Il Contratto, cit., 472 ss.
DIRITTO DI INTERNET N. 3/2020
547
PRASSI dell’interesse della controparte. (58) Le considerazioni che precedono permettono di suffragare l’assunto che gli obblighi di correttezza e buona fede devono essere qualificati come una regola di governo operante nella fase esecutiva del rapporto (59) tanto da consentire al giudice di ricorrere ad un ampio potere al fine di adattare il regolamento negoziale non solo a regole di giustizia e di lealtà ma anche a valori sottostanti ed esterni all’ordinamento stesso. (60) Nel caso di specie è chiaro che la predetta clausola non solo crea un pregiudizio alla parte debole del contratto ma mette altresì nelle condizioni di raggirare l’inserzionista. Difatti, Google ha “fidelizzato” l’advertiser con condizioni economiche vantaggiose, salvo poi aumentare - in assenza di trattative ma solo in virtù della potestà che la predetta clausola gli conferisce – vertiginosamente i costi, in particolare il “pay per click” giornaliero, mascherando tale aumento come se fosse una “sovrapubblicazione” che creerebbe benefici all’inserzionista. In realtà, sotto le vesti di questa “sovrapubblicazione” - che lascerebbe propendere per una astratta parità tra le parti del contratto - si cela una situazione di materiale disuguaglianza dovuta ad una clausola che rappresenta di fatto uno strumento di sopraffazione della parte economicamente più forte nei confronti dell’inserzionista. (61) Trattasi di una asimmetrica assegnazione di potestà che crea un grave squilibrio contrattuale tra Google e l’inserzionista il quale, come è facile desumere, è obbligato ad accettare il vertiginoso aumento dei costi. A tali considerazioni, comunque, valga aggiungere che la predetta clausola, così come impostata, non soddisfa neppure il requisito della “determinabilità” (62)dell’oggetto del contratto ex art. 1346 e 1418 c.c. in quanto la modifica unilaterale non contiene l’indicazione di alcun criterio od elemento atto a stabilire il metodo di quantificazione definitiva del budget che l’inserzionista mensilmente è tenuto a pagare per il posizionamento quotidiano su Google. È chiaro, quindi, che la clausola de qua consente al preponente indeterminate modifiche unilaterali del corrispettivo e, quindi, trattasi di uno ius variandi incondizionato in ordine all’entità delle somme (58) Uda, La buona fede nell’esecuzione del contratto, Torino, 2005, 457. (59) Scarpello, La modifica unilaterale del contratto, Padova, 2010, 141. (60) Alpa, La completezza del contratto: il ruolo della buona fede e dell’equità, in Vita Notarile, 2002, 611 ss. (61) Sebbene in altro contesto cfr. Betti, Teoria generale del negozio giuridico, Torino, 1960, 99; Carresi, Il contratto, in Cicu –Messineo (cur.) Trattato di diritto civile e commerciale, Milano, 1987, p. 219; Patti, Le condizioni generali di contratto ed i contratti del consumatore, I contratti in generale, Gabrielli (cur.), Trattato dei contratti, Torino, 1999, 297. (62) Con un approccio molto rigido sostiene che l’indeterminatezza si risolve in una causa di inesistenza del contratto piuttosto che di mera nullità Carresi, Il contratto, cit., 228.
548
DIRITTO DI INTERNET N. 3/2020
che l’inserzionista è tenuto a corrispondere per garantire un posizionamento quotidiano su Google. Sull’argomento, è noto che la teoria dell’oggetto del contratto, incentrata sul colmare quei gaps che la norma codicistica trascura, ha dato vita ad un noto dibattito che si è concluso anche con la formulazione di alcune elaborazioni teorico-filosofiche. (63) Al di là di tali elaborazioni, secondo la regola giurisprudenziale è necessario che le clausole di indicizzazione in aumento del prezzo del servizio, in caso di modifica unilaterale, siano disciplinate contrattualmente. (64) La rationes decidendi sottesa a tale orientamento si fonda sull’assunto che le parti, in presenza di una variazione dei costi, hanno la necessità di conoscere l’impegno assunto o, almeno, i criteri per la sua concreta determinazione ovvero la specificazione delle modalità e quantità della “situazione finale”. (65) Pertanto, riprendendo quanto sostenuto da autorevole dottrina (66), trattasi di una tutela del contraente debole contro l’eventualità di arbitrii e comportamenti vessatori ad opera dell’altra. In pratica il problema attiene non tanto all’ an dello jus variandi quanto piuttosto al quomodo, cioè alle sue modalità di esercizio che non devono essere arbitrarie né tantomeno creare pregiudizi alla parte debole del contratto. (67)
(63) Cfr. Gitti, L’oggetto del contratto e le fonti di determinazione dell’oggetto dei contratti di impresa, in Riv. Dir. Civ., 2005, 11 ss. (64) Sono due, ad avviso di chi scrive, le sentenze che affrontano nel dettaglio la annosa questione: Cass. 20 giugno 2007 nr. 19366, in <www. dejure.it>; mentre nella giurisprudenza di merito cfr. Trib. Milano, 23 febbraio 2005 in I Contratti n. 10/2005, 853 ss. con commento di Senigaglia, secondo cui “il paradigma della determinabilità esige, in quest’ottica, che la prestazione, ovvero il comportamento che il debitore deve attuare nei confronti del creditore, venga circostanziata nel regolamento contrattuale in modo inequivocabile”. (65) Segnigaglia, cit., 859. In particolare l’autore sottolinea che si assite ad un problema di “indeterminabilità dell’oggetto del contratto allorchè la ‘capienza’ della situazione finale è nell’esclusiva disponibilità di una delle parti. […] Viceversa, determinabilità dell’interesse ogni qualvolta i contraenti, in sede di formazione del contratto, ne hanno realizzato il cd. contenuto minimo”. (66) Alpa, Indeterminatezza dell’oggetto del contratto, giudizio di nullità e principio di buona fede, in Giur. It., 1977, I, 703; Roppo, Fideiussione “omnibus”: valutazioni critiche e spunti propositivi, in Banca, borsa e tit. cred., 1987, I, 147; Scarpello, La modifica unilaterlae del contratto, Padova, 2010, 80; Gabrielli, L’oggetto del contratto. Artt. 1346 – 1349, in Schlesinger – Busnelli (cur.), Il Codice Civile Commentario, Milano, 2015, 109 ss. (67) In questo senso Pagliantini, Inderminabilità dell’oggetto, giudizio di nullità e contratto di agenzia: verso l’inefficacia delle clausole di modificazione unilaterale del contratto?, in Giustizia civile, 1998, 2903, il quale criticamente commenta la sentenza della Cass. Sez. lav. 8 novembre 1997 n. 11003 che, in sintesi, dichiara nulla la clausola del contratto di agenzia che preveda che il preponente possa modificare unilateralmente le condizioni economiche, dovendo escludersi che la determinazione di un elemento essenziale del contratto sia rimessa al mero arbitrio del preponente. Sulla questione si veda altresì Lener, Clausola modificativa delle provvigioni per i promotori, in Contratti, III, 1998, 255 ss.
PRASSI L’argomento pragmatico tratto dalle predette considerazioni è che, la clausola inserita da Google rappresenta una chiara limitazione alla facoltà dell’inserzionista di opporre eccezioni, in quanto Google ha facoltà di variare arbitrariamente entro un certo margine l’oggetto della prestazione (68). Pertanto tale clausola è priva di efficacia. In tale contesto valga comunque considerare che, nel caso di specie, l’accettazione di tali clausole si rivela per l’inserzionista vessato una strada obbligata non solo per garantire la continuità quotidiana del servizio ma altresì per quanto sopra rilevato relativamente al regime “monopolistico” di Google e, quindi, all’impossibilità di scelta da parte dell’inserzionista di soluzioni alternative a Google Ads. (69)
5. Riflessioni conclusive e sfide
Alla luce delle considerazioni svolte è chiaro che il Search Engine Marketing ha aperto nuove sfide che impongono al giurista contemporaneo nuovi studi volti a garantire che siano tutelate le parti deboli del rapporto. Da tale breve sunto emerge che all’utilizzo di algoritmi per l’elaborazione di dati e l’implementazione automatizzata della clientela (cd. click) nonché alle pratiche “monopolistiche” che oramai caratterizzano Google Ads, si accompagnano seri rischi per gli utenti ma soprattutto per l’inserzionista (solitamente piccole e medie imprese) che sempre più rischia di essere condizionato, anche inconsapevolmente, nelle proprie strategie imprenditoriali online e di essere vittima di trattamenti profondamente discriminatori, come quello di Google Ads che è stato analizzato nel presente lavoro. Le predette considerazioni consentono, senza dubbio, di sostenere che la “pratica” utilizzata da Google gli consentirà non solo di conseguire un ingiustificato profitto
(68) Bianca, Diritto civile, cit., 356 ss., secondo cui al fine di valutare o meno la vessatorietà della causa occorre “accertare se essa sancisca una limitazione di responsabilità del predisponente ovvero se gli attribuisca la facoltà di variare entro un certo margine l’oggetto della prestazione”. (69) Sullo squilibrio tra le prestazioni e sul pregiudizio alla parte debole del contratto costretta ad accettare un regolamento “iniquo”, si rinvia a Roppo, Contratto di diritto comune, contratto del consumatore, contratto con asimmetria di potere contrattuale: genesi e sviluppi di un nuovo paradigma, in Mazzamuto (cur.), Il Contratto e le tutele, Torino, 2002, 648 ss.; Zoppini, Il contratto asimmetrico tra parte generale, contratti di impresa e disciplina della concorrenza, in Riv. Dir. Civ., 2008, V, 520; Villa, Invalidità del contratto tra imprenditori in situazione asimmetrica, in Gitti – Villa (cur.), Il Terzo contratto, 113 ss.; Bortolotti, I contratti di subfornitura, Padova, 1999, p. 145, secondo cui “Ciò che conta, quindi, è la situazione in cui una delle parti non dispone di sufficienti alternative ed è quindi costretta a dipendere dalla parte più forte. Dal punto di vista del fornitore potrà trattarsi dell’ipotesi in cui certi prodotti possano essere forniti solo ad una determinata controparte, oppure quando l’acquirente rappresenti uno sbocco particolarmente importante. Dal punto di vista dell’acquirente, invece, potrà aversi dipendenza quando certi prodotti possano essere reperiti solo presso un determinato fornitore”. Cfr. anche Delli Priscoli, cit., 835.
a discapito degli inserzionisti “fidelizzati”, ma soprattutto ne discenderà che tali pratiche si tradurranno in un pregiudizio anche alla qualità dei prodotti pubblicizzati su queste “piattaforme” online. In effetti, in tale contesto emerge che le aziende che non possono permettersi di aumentare il proprio budget mensile ma che hanno prodotti e/o offerte migliori, resteranno quasi completamente escluse dal mercato online. (70) In sintesi, tali pratiche possono avere serie ripercussioni anche sugli utenti in quanto gli inserzionisti che verranno “premiati” saranno non tanto quelli che offrono i migliori prodotti/servizi, o miglior rapporto qualità/prezzo, quanto quelli che hanno la possibilità di pagare i costosi servizi di Google Ads per garantire una “sovrapubblicazione” quotidiana dei propri prodotti/servizi. Tali condotte è chiaro che incideranno anche sulla tutela dei consumatori, che sempre più spesso saranno condotti dal SEM ad acquistare i prodotti “sovrapubblicati”. Di contro, una pratica commerciale “sana” garantirebbe una equa concorrenza tra gli inserzionisti che rappresenta, certamente, la migliore garanzia per gli interessi degli utenti online. Inoltre, questa garantirebbe un aumento della quantità e qualità dei beni e servizi offerti contribuendo a migliorare la qualità del mercato, con conseguenze a beneficio anche dei consumatori/ utenti. Inoltre, disciplinare analiticamente tali pratiche, consentirebbe alla parte debole del contratto altresì di non assistere a repentine ed unilaterali modifiche contrattuali. Tutto ciò, ad avviso di chi scrive, gioverebbe altresì alle multinazionali del SEM che eviterebbero di cadere in contenziosi che potrebbero creare loro ingenti pregiudizi, con cadute anche sulla propria reputazione aziendale e conseguente aumento dello switching su altri motori di ricerca (sebbene ad oggi quasi sconosciuti). In questo scenario economico contemporaneo, alcune norme come tra tante quella di cui all’art. 9 l. 192/1998 sulla subfornitura permettono al giudice di avere un ruolo centrale (71) nel contrastare fortemente l’abuso intollerabile della libertà contrattuale a danno dell’inserzionista/imprenditore pregiudicato dal comportamento abusivo e vessatorio del fornitore del servizio online di pubblicità. Muovendo da un approccio metodologico scevro da generalizzazioni, tanto in punto di fattispecie concrete ipotizzabili, quanto in punto di rimedi esperibili, apparirebbe innanzitutto molto utile istituire una “Federal
(70) In questo senso cfr. l’opinionista Ulanoff, Google? A monopoly?, in Pc Magazine, 2007, 56 il quale già oltre un decennio fa si interrogava sulla legittimità di tali pratiche. (71) In questo senso Calvo, Il contratto, Torino, 2017, 43.
DIRITTO DI INTERNET N. 3/2020
549
PRASSI Search Commission” (72) che imponga a tutti i motori di ricerca di mostrare anche quali sono gli altri siti (motori di ricerca) che possono offrire il medesimo prodotto/ servizio. In conclusione, in attesa di nuovi sviluppi, ad oggi l’auspicio è quello di avere una lettura da parte dei giudici (73) sostanziale e di meritevolezza (74) del contenuto delle condizioni di questo tipo di contratti (75) - sempre più utilizzati in questa nuova era della globalizzazione – sia tenendo conto delle norme sulla concorrenza che dei principi di buona fede ed equità sopra richiamati.
(72) Già da alcuni anni questo tema è oggetto di approfondimenti anche da parte di giuristi. Cfr. sul punto Bracha – Pasquale, Federal Search Commission? Access, Fairness, and Accountability in the law of Search, in Cornell Law Rev., 2008, 1149 ss. (73) Hanno sollecitato controlli sostanziali e di meritevolezza del contenuto e delle condizioni generali di contratto tra tanti cfr. di Majo, Il controllo giudiziale delle condizioni generali di contratto, in Riv. Dir. Comm., 1970, I, p. 239 ss.; Rodotà, Il controllo sulle condizioni generali di contratto, in Amato – Cassese – Rodotà (cur.), Il controllo sociale delle attività private. Tesi e materiali, Genova, 1972, 239; Nuzzo, Condizioni generali di contratto, in Irti (cur.), Dizionario del diritto privato, Milano, 1980,163 ss. Da ultimo Minervini, La “meritevolezza” del contratto, Torino, 2019, 4 ss. (74) Bianca, Condizioni generali di contratto (tutela dell’aderente), in Digesto, sez. civ., III, Torino, 1988, 399; Perlingieri, I mobili confini dell’autonomia privata, in Id., Il diritto dei contratti tra persona e mercato, Napoli, 2003, 21. (75) Sui contratti conclusi su internet, nella letteratura italiana, si veda Finocchiaro, Diritto di internet. Scritti e materiale del corso, Bologna, 2001, 47 ss.; Cassano - Cimino (cur.), Diritto dell’Internet e delle nuove tecnologie telematiche, Padova, 2009, 3 ss.
550
DIRITTO DI INTERNET N. 3/2020
PRASSI
Il Fascicolo sanitario elettronico nel sistema dell’Agenda Digitale Italiana di Alfonso Contaldo e Francesca Zambuco Sommario: 1. Breve premessa. - 2. La telemedicina come obiettivo della digitalizzazione per la crescita economica dell’Unione europea. - 3. Il CAD e la digitalizzazione sanitaria: brevi cenni introduttivi. - 4. Verso un open government sanitario. La recente pandemia ha messo in luce la necessità di accelerare il processo di digitalizzazione in tutti i settori, in primis quello medico. La telemedicina pone indubbi temi giuridici, dalla tutela dei dati sensibili dei pazienti all’imputazione della responsabilità in caso di danni in ragione del coinvolgimento di diverse figure professionali e di diversi interessi di pari rango da tutelare. La crescita economica, italiana ed europea non può tuttavia prescindere dalla digitalizzazione sanitaria e un open government sanitario è uno dei pilastri più importanti su cui deve reggersi una democrazia moderna e ben funzionante. The recent pandemic highlighted the need to speed up with the digitalization process in any sector, primarily in the healthcare context. Telemedicine raises a variety of legal issues, from the protection of sensitive data to the liability for damages, considering the involvement of different professional and interests to guarantee. Notwithstanding the importance of the Italian and European economic growth, it cannot disregard the health digitalization and an open government in the healthcare is one of the most important pillars to sustain a modern and well-functioning democracy.
1. Breve premessa
Nell’Unione Europea (“UE”) le sfide e le opportunità della Società della Conoscenza sono state colte appieno. Fin dagli anni Ottanta le nuove tecnologie, le c.d tecnologie dell’informazione e della comunicazione (“TIC”) o Informations and Communications Technology (“ICT”), allora in una fase di sviluppo iniziale, sono state considerate strumenti atti a favorire il progresso economico e sociale (1). Basti pensare che il primo riferimento alla Società dell’Informazione, termine che doveva sostituire il concetto di autostrade dell’informazione in voga nelle policies degli Stati Uniti (2), si trova nel Libro bianco “Crescita, Competitività e Occupazione”, presentato dal presidente della Commissione Europea (“Commissione”), Jacques Delors, nel 1993. L’UE ha mostrato particolare interesse anche nei confronti delle applicazioni delle ICT alla medicina. Non a caso una delle più valide definizioni di telemedicina (3) è stata elaborata, nel 1990, con il programma di ricerca “Advanced Informatics in Medicine – AIM”, finanziato dalla allora Comunità Europea. Nonostante il notevole impulso
(1) Cfr. Limone, Politica e normativa comunitaria, Milano, 1985, 92 ss. (2) Si veda Contaldo - Mazzatosta - Mairate, La società dell’informazione in movimento. Miti e realtà, Roma, 1996, 42 ss. (3) In considerazione dei suoi molteplici impieghi, la telemedicina è stata presentata come “il controllo, il monitoraggio e la gestione dei pazienti, nonché la loro educazione e quella del personale sanitario, attraverso l’uso di sistemi che consentano un tempestivo accesso alla consulenza di esperti e alle informazioni del paziente, indipendentemente da dove il primo o le seconde risiedano”.
allo sviluppo dell’e-health che la Strategia per la crescita digitale 2014-2020 ha inteso dare, il nostro Paese appare in ritardo rispetto non solo a paesi extra europei particolarmente virtuosi, come Russia, Arabia Saudita, India e Cina, che vedono l’utilizzo di una tecnologia per l’e-Health o di un’app per il m-Health in una misura che varia dall’81% al 94%, ma anche rispetto a paesi europei come la Germania e il Regno Unito, dove il range è del 64% - 76%. I ritardi e le fragilità del nostro sistema telemedico si sono palesati in tutta la loro drammaticità nella recente emergenza dovuta alla pandemia Covid – 19. È a tutti noto che l’applicazione della telemedicina fa sorgere una molteplicità di questioni giuridiche, dalla tutela dei dati sensibili scambiati a distanza tra i diversi specialisti che prendono in carico il paziente all’imputazione della responsabilità in caso di danni, proprio in ragione del coinvolgimento di diverse figure professionali. Ciononostante, si sta rilevando uno strumento indispensabile per la gestione dell’emergenza Coronavirus poiché grazie ai consulti a distanza viene garantita l’erogazione delle prestazioni sanitarie, nella forma del consulto medico a distanza, e si evitano tanto i rischi di contagio legati ad un consulto fisico quanto il sovraffollamento delle strutture mediche, ambulatori ed ospedali, che già stentano a garantire il servizio sanitario emergenziale. L’auspicio è che il processo forzatamente avviato dal Coronavirus non si arresti ad emergenza conclusa, ma diventi obiettivo primario della politica sanitaria italiana.
DIRITTO DI INTERNET N. 3/2020
551
PRASSI 2. La telemedicina come obiettivo della digitalizzazione per la crescita economica dell’Unione europea
Gli interventi dell’UE non si sono limitati alla telemedicina ma hanno guardato all’e-Health nel suo complesso. Come noto, infatti, la telemedicina costituisce solo una parte (4), pure essenziale, della sanità digitale che, secondo la definizione dell’Organizzazione Mondiale della Salute, è l’uso delle TIC a vantaggio della salute umana e, quindi, la loro applicazione all’intera gamma di funzioni che investono il settore sanitario. Già nel 1994 il Rapporto cd. Bangemann, adottato dalla Commissione per indicare misure concrete di implementazione della Società dell’Informazione, individua l’interconnessione delle reti e l’interoperabilità anche nel sistema sanitario tra le quattro macro-aree principali di intervento accompagnate da progetti d’applicazione, fra i quali la rete avanzata per le Università, i centri di ricerca (e quindi anche quelli medici) e la rete sanitaria (5). Negli anni successivi, non solo si adottano misure specificatamente orientate alla digitalizzazione anche sanitaria (6), in ragione del suo “notevole potenziale di creazione di ricchezza, di più elevati standard di vita e di migliori servizi” (7), ma l’UE si dota di strutture tecniche in grado di supportare il processo. Viene dapprima costituito l’Ufficio Europeo per la Società dell’Informazione e, a seguire, la Direzione Generale Società dell’Informazione, che nel 2002 ha assunto nuove competenze e la denominazione di DG Società dell’Informazione e Media (“DG INFSO”) per essere sostituita, nel 2012, dalla DG Connect. Negli anni successivi sarebbe diventato sempre più comune assistere allo sviluppo dell’assistenza sanitaria domiciliare attraverso le reti telematiche ad appositi terminali e
(4) Cfr. Morelli, Diritto alla salute e sanità elettronica, in Diritti e libertà in Internet a cura di Frosini - Pollicino - Apa, Milano, 2017, 412 ss. (5) Il rapporto non consentiva alcuna pianificazione effettiva delle policies, per l’impatto sociale del possibile impianto normativo. Infatti, tutte le premesse evidenziate nel precedente Libro bianco citato venivano messe in secondo piano, per riprendere con vigore l’idea di liberalizzazione dei mercati delle telecomunicazioni. Ciononostante, a livello della Comunità il necessario quadro normativo sarebbe stato elaborato al più presto. Cfr. Limone, Profili generali dell’ambito disciplinare, in Materiali di diritto delle tecnologie dell’informazione, Lecce, 2009, 32 ss. (6) Con la Comunicazione della Commissione al Consiglio e al Parlamento Europeo e al Comitato Economico e Sociale e al Comitato delle Regioni del 19 luglio 1997, la Commissione adotta il piano “La Via Europea verso la società dell’informazione”. Nello stesso anno si attiva anche il primo “Forum Europeo per la Società dell’Informazione”, da cui scaturisce un dibattito a livello comunitario e internazionale inerente all’impatto della Società dell’Informazione nei suoi aspetti tecnici, economici, sociali e legislativi, e viene lanciata l’Iniziativa Interregionale per la Società dell’Informazione (“IRIS”). (7) Cfr. Commissione europea, Libro verde Vivere e lavorare nella Società dell’Informazione. Priorità alla dimensione umana (cfr. COM (96)0389 - C40522/96); IDEM, Libro Verde L’informazione del settore pubblico nella società dell’informazione, (COM (1998) 585).
552
DIRITTO DI INTERNET N. 3/2020
sarebbe diventato sempre più necessario usufruire di alcuni dei servizi erogati dalla Pubblica Amministrazione (“PA”) attraverso la connessione ad Internet. Ciononostante, la distribuzione e la velocità di introduzione delle TIC appariva diversa tra Paesi, regioni e settori, ed i vantaggi ad esse legati erano distribuiti in modo eterogeneo. È proprio all’interno di questo processo di cambiamento, che ha interessato sia la vita privata che quella pubblica, estendendosi persino alla sfera lavorativa, che nasceva il digital divide (8). I cambiamenti indotti dall’attuazione delle TIC non erano solo di ordine tecnico: nascevano nuove strutture socioeconomiche e nuove forme di gestione degli affari pubblici e, di conseguenza, la necessità di individuare nuovi modi di comunicazione e interazione tra cittadini, imprese e amministrazione. Nonostante il sostegno dell’UE e degli Stati membri allo sforzo di ricerca delle imprese europee, i bisogni in materia di ricerca e sviluppo nel settore sanitario continuavano ad aumentare. L’UE ha sapientemente colto queste esigenze a partire dal Consiglio Europeo di Lisbona del 2000, in cui si è definito il noto obiettivo di “rendere l’economia europea la più competitiva al mondo entro il 2010”, adottando Piani d’azione organici fra cui quello dedicato all’informatizzazione della sanità. Il Piano d’azione globale “eEurope 2002” (9), adottato nel 2000 con lo scopo di favorire un accesso più economico, rapido e sicuro a Internet, investire nelle risorse umane e nella formazione e promuovere l’utilizzo di Internet, è stato integrato con “eEurope 2005” (10) nel quale diventano obiettivi prioritari la predisposizione e diffusione di servizi pubblici in rete attraverso appositi programmi di eGovernment, eLearning ed e-Health, la creazione di un ambiente dinamico per il business (E-commerce), la progressiva realizzazione di un’infrastruttura di protezione dell’informazione e l’accesso ad Internet tramite banda larga. Il Piano era sostenuto finanziariamente dal Progetto Modinis che incentivava la diffusione di buone prassi, analisi e discussioni strategiche per migliorare la sicurezza della rete e delle informazioni (11). In altri termini, si concretizzava il percorso di educazione al digitale nella consapevolezza della sua capacità di imprimere nuovo slancio anche alla politica di (8) Cfr. Sartori, Il divario digitale. Internet e le nuove disuguaglianze sociali, Bologna, 2006, 32 ss. (9) Cfr. Commissione europea, eEurope 2002: Impatto e priorità, Comunicazione al Consiglio europeo di primavera, Stoccolma 23-24 marzo 2001 [COM (2001) 140 def. (10) Si veda la Comunicazione della Commissione europea al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle regioni del 28 maggio 2002, Piano d’azione eEurope 2005: una società dell’informazione per tutti. (11) Cfr. Contaldo - Peluso, E-Detective. L’informatica giuridica e le applicazioni della digital forensics, Varazze (SV), 2018, 28 ss.
PRASSI sviluppo dell’e-Health. È chiaro che in realtà sempre più connesse, spesso a diverse velocità, la Commissione si è preoccupata di garantire uno sviluppo uniforme della sanità digitale tra gli Stati membri e, quindi, una pianificazione condivisa fra gli stessi dei provvedimenti in materia telemedica. A questo fine la Comunicazione “Sanità elettronica – migliorare l’assistenza sanitaria dei cittadini europei: piano d’azione per uno spazio europeo della sanità elettronica” (12), individua strategie e metodologie comuni per accelerare l’avvio della telemedicina, verificare i risultati delle esperienze attraverso la diffusione delle best-practices e valutare gli effetti quali-quantitativi dei progetti effettivamente realizzati nonché la loro conformità alle best-practices individuate. Con la Comunicazione della Commissione del 1° giugno 2005, quindi, si assiste ad un rilancio e ad una revisione della cd. Strategia di Lisbona, in quanto la Commissione definisce i grandi orientamenti strategici della Società dell’informazione e dei media (13) mediante il piano “i2010-Una Società dell’Informazione europea per la crescita e l’occupazione” (14). La Commissione, attraverso la definizione della governance dello sviluppo dell’informatizzazione sanitaria, intende avvalersi dell’e-Health per rafforzare la coesione sociale, economica e territoriale e così realizzare una Società europea dell’informazione basata sull’inclusione, che sostenga la crescita del welfare proprio attraverso la sanità digitale per il miglioramento della qualità di vita dei cittadini europei. Come rilevato dalla Commissione in sede di bilancio sull’attuazione della strategia i2010 (15), tutti gli Stati membri ritenevano prioritarie le politiche in materia di ricerca e d’innovazione, con particolare riguardo all’adozione di misure nel settore dell’amministrazione in linea (compresa la Sanità pubblica), della banda larga e dell’alfabetizzazione digitale (16). Ciono-
(12) Si veda la Comunicazione della Commissione europea al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle regioni del 30 aprile 2004. (13) Cfr. Pietrangelo, La società dell’informazione tra realtà e norma, Milano, 2007, 62 ss. (14) Si veda la Comunicazione della Commissione europea al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle regioni del 1° giugno 2005, i2010 - Una società europea dell’informazione per la crescita e l’occupazione. (15) Si veda la Comunicazione della Commissione europea al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle regioni del 19 maggio 2006, “i2010 - Prima relazione annuale sulla società europea dell’informazione”. (16) Di seguito, poi, con la Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – “i2010 - Relazione annuale 2007 sulla società dell’informazione”, la Commissione formulava varie raccomandazioni e proposto azioni per il 2007 e il 2008, tra le quali: a) il riesame del quadro normativo per le comunicazioni elettroniche; b) l’inclusione, il migliora-
nostante, e anche considerato il potenziale offerto dall’e-Health, i suoi innegabili vantaggi e la maturità tecnica delle sue applicazioni, il ricorso ai servizi telemedici risultava ancora limitato e il relativo mercato presentava un alto grado di frammentazione. Il principale limite riscontrato dalla Commissione è ben noto ai promotori dell’informatizzazione presso la PA italiana trattandosi del famoso (e ormai trito) problema della “macchia di leopardo”: la maggior parte delle iniziative in questo settore è rappresentata da progetti singoli e di piccola scala, che stentano ad integrarsi nel sistema di assistenza sanitaria. Le imprese che se ne occupano hanno dimensioni medio-piccole e non riescono ad affermarsi nel mercato, né ad imporre standard a livello internazionale. È su questa consapevolezza che la Commissione, con il secondo programma d’azione comunitaria in materia di salute (17) per il periodo 2008 2013, si prefigge di supportare gli Stati membri nella difficile opera di procedere all’integrazione dell’e-Health con i sistemi nazionali di assistenza sanitaria. Il tassello mancante è la fiducia: la fiducia da parte del sanitario circa l’efficacia di queste metodologie di lavoro, la fiducia del paziente nei confronti di queste nuove soluzioni di cura e di contatto con le strutture sanitarie, la fiducia dell’economia, che non investe in queste nuove imprese. Per dirlo con le sue stesse parole, la Commissione si propone di “fornire elementi atti a creare fiducia e di favorire l’accettazione” dei servizi di telemedicina presso i singoli Stati membri. Accanto a questo primario obiettivo, e con funzione strumentale rispetto ad esso, la Commissione, consapevole che “soltanto pochi Stati membri hanno assetti normativi chiari su cui si fonda l’esercizio della telemedicina”, ritiene indispensabile contribuire ad “apportare chiarezza del diritto”. Ed un primo baluardo giuridico che doveva, e deve tuttora, essere riconosciuto dagli Stati è quello di adeguate garanzie a “tutela dei dati personali, nonché le più elevate norme di sicurezza per i pazienti”. Sotto altro profilo, diventa cruciale risolvere i problemi tecnici secondo parametri di interoperabilità ed agevolare lo sviluppo del mercato di queste soluzioni tecnologiche. Infatti, se “È tempo che la telemedicina migliori la vita dei pazienti ed offra nuovi strumenti ai professionisti della sanità: la telemedicina può essere d’aiuto ad affrontare le sfide principali per i sistemi sanitari e può offrire opportunità considere-
mento continuo dei servizi pubblici e della qualità della vita (e-Accessibilità, alfabetizzazione digitale, amministrazione in linea, automobile intelligente, efficienza energetica). In vista di un riesame intermedio previsto per il 2008, nella relazione si definiva una serie di azioni preparatorie. (17) Si veda la Comunicazione della Commissione del 4 novembre 2008 e la Decisione della Commissione del 23 febbraio 2009, che adotta il Piano di lavoro per il 2009 e stabilisce i criteri di selezione e di attribuzione per l’erogazione dei contributi finanziari alle azioni di tale programma.
DIRITTO DI INTERNET N. 3/2020
553
PRASSI voli all’industria europea”, l’UE riconosce che l’impegno reale dei singoli Stati è fondamentale (18). Con l’obiettivo di riemergere dallo stato di crisi e preparare l’economia europea agli scenari internazionali futuri, nel marzo 2010, la Commissione promuove la strategia Europe 2020 in cui fissa l’Agenda digitale europea. Occorre, infatti, ottenere il massimo rendimento sociale ed economico delle TIC per incidere positivamente in molteplici aspetti della quotidianità delle PA, delle imprese e dei cittadini. L’obiettivo di innalzare la qualità della vita dei cittadini europei è il motore di tutta l’agenda e delle sue 20 linee di azione: creare un ambiente più pulito, migliori trasporti, migliore l’assistenza sanitaria, garantire una più ampia e fruibile offerta di servizi pubblici e nuove opportunità di comunicazione. Nella proposta di regolamento riguardante il Terzo programma pluriennale dell’UE per la salute in Europa, dal titolo “Salute per la crescita” (19), la Commissione prende atto della necessità di una riforma dei sistemi sanitari europei che tenga conto dei cambiamenti demografici e sociali e permetta di offrire servizi di assistenza sanitaria più sostenibili e di favorire l’innovazione nel settore (20). Per il conseguimento dell’obiettivo, la Commissione precisa che è necessario “incoraggiare il trasferimento di importanti risorse del settore verso i prodotti e i servizi più innovativi e di valore, che permettono al contempo di usufruire del miglior potenziale di mercato e di risparmiare sui costi nel lungo periodo”. In sintesi, i sistemi statali devono investire nella ricerca e nelle nuove tecnologie. L’azione dell’e-Health risulta immediatamente avvicinabile al fine poiché contribuisce alla riduzione dei costi dell’assistenza medica, ad incrementarne la qualità e a garantire l’autosufficienza dei cittadini. Come in ogni settore di intervento dell’UE, anche in campo sanitario è determinante la cooperazione tra i vari Stati al fine di rendere i servizi di assistenza sanitaria on-line efficienti oltre i confini nazionali, accessibili e sicuri nel conservare i dati (21). Nel 2012, dunque, esordisce il
(18) Cfr. Mancarella, e-Health e diritti, L’apporto dell’informatica giuridica, Roma, 2013, 72 ss. (19) Si veda il Regolamento (UE) n. 282/201 del Parlamento europeo e del Consiglio, sulla istituzione del terzo programma d’azione dell’Unione in materia di salute (2014-2020) e che abroga la decisione n. 1350/2007/ CE.
554
nuovo piano d’azione per la Sanità elettronica (22) allo scopo, testualmente, di far cadere le “barriere al pieno utilizzo delle soluzioni digitali nei sistemi sanitari europei”. Gli obiettivi sono il miglioramento delle prestazioni sanitarie a beneficio dei pazienti, l’offerta a questi ultimi di un maggiore controllo delle proprie cure mediche e la riduzione dei costi. L’intervento della Commissione è un monito ad accelerare tanto che, aggiunge, quasi ironicamente: “mentre la telemedicina suscita l’entusiasmo di pazienti e operatori sanitari che già la usano e milioni di Europei hanno scaricato applicazioni per smartphone che consentono di tenere d’occhio il proprio stato di salute e di benessere, il settore della sanità deve ancora sfruttare appieno il cospicuo potenziale offerto dalla svolta digitale per migliorare i propri servizi e realizzare risparmi di efficienza”. Il piano d’azione intende, il più rapidamente possibile, eppure già in sensibile ritardo: chiarire le aree di incertezza del diritto, migliorare l’interoperabilità tra i sistemi, sensibilizzare pazienti ed operatori sanitari ai benefici della telemedicina, conferire al paziente un ruolo centrale, con iniziative di gestione personale della salute, promuovere la ricerca nel campo della medicina personalizzata, offrire consulenza giuridica gratuita per l’avvio di imprese nel settore della sanità elettronica. Preso atto del fatto che ormai il mondo ragiona in termini di applicazioni “mobile” e che il cittadino europeo utilizza gli smartphone nella vita quotidiana a moltissimi scopi, la Commissione si era impegnata a pubblicare entro il 2014 un Libro verde sulle applicazioni sanitarie mobili (m-Health), prestando particolare attenzione agli aspetti della qualità e della trasparenza. Insomma, lasciati ormai indietro i governi nazionali, decisamente antiquati nella visione e nelle proposte, la stessa UE “rincorre” il cittadino, che ormai, regolamentate o no, previste o no, le tecnologie le cerca e le usa. È innegabile come l’innovazione anche tecnologica nel settore dell’assistenza sanitaria possa contribuire alla salute e al benessere dei pazienti e del pubblico offrendo nuovi prodotti, servizi e trattamenti che funzionino meglio e siano addirittura meno costosi rispetto a quelli già esistenti (23). Le TIC possono anche offrire modalità più efficienti di orgama Ambient Assisted Living (AAL), lanciato nel 2008, che supporta la vita autosufficiente rendendo attivo ed intelligente l’ambiente nel quale si vive, programmi di teleassistenza e i servizi sociali on-line. La Commissione porrà pertanto in essere, di concerto con le autorità dei vari Stati Membri, l’azione fondamentale 13, per assicurare la sicurezza dei dati medici on-line e diffondere entro il 2020 la telemedicina e l’azione fondamentale 14 per garantirne l’interoperabilità e standard comuni dei dati sanitari on-line tra gli Stati Membri.
(20) Il programma si prefigge di finanziare la diffusione di soluzioni innovative per migliorare la qualità, l’efficienza e la sostenibilità dei sistemi sanitari, ponendo l’accento sul capitale umano e sullo scambio delle buone pratiche i servizi di assistenza sanitaria. In particolare, l’obiettivo 2.1 prevede di “Sviluppare strumenti e meccanismi comuni a livello dell’UE volti ad affrontare la carenza di risorse umane e finanziarie e agevolare l’adozione dell’innovazione nell’assistenza sanitaria, al fine di contribuire a sistemi sanitari innovativi e sostenibili”
(22) Cfr. Mancarella, op. et loc. supra cit., per un’analisi di e-Health Action Plan 2012-2020 – varato dalla Commissione europea nel dicembre 2012.
(21) L’Unione europea inoltre sviluppa programmi assistenziali per anziani, malati cronici, disabili, come le soluzioni tecnologiche del program-
(23) Si vedano le Conclusioni del Consiglio dell’Unione Europea del 6 dicembre 2014 sull’innovazione a beneficio dei pazienti.
DIRITTO DI INTERNET N. 3/2020
PRASSI nizzazione, gestione e controllo delle attività nel settore sanitario nonché migliorare le condizioni di lavoro del personale sanitario. Il Consiglio dell’UE ha, pertanto, invitato i governi nazionali e la Commissione, insieme o separatamente, a prendere in considerazione lo sviluppo di vari modi per incoraggiare l’innovazione medica a beneficio dei pazienti avendo riguardo all’immissione in commercio dei medicinali innovativi (mediante pareri scientifici tempestivi e rapida valutazione della loro efficacia), alla condivisione di informazioni sui prezzi e i costi dei nuovi medicinali e all’esame della normativa esistente sui medicinali per valutarne un’eventuale modifica per permettere ai pazienti un accesso tempestivo ai nuovi farmaci. L’Unione dell’innovazione è una delle sette iniziative faro nella strategia Europa 2020, la strategia di crescita economica decennale dell’UE. L’obiettivo è di utilizzare metodi innovativi per promuovere la buona salute.
3. Il CAD e la digitalizzazione sanitaria: cenni introduttivi
L’informatizzazione pubblica ha comportato inizialmente nella prassi amministrativa quel fenomeno definito con il termine di “informatica parallela”, che indica un impiego meramente e prettamente strumentale delle tecnologie informatiche in vista di una successiva trattazione cartacea del lavoro amministrativo. Il perpetuarsi di tale fenomeno ha avuto riflessi assai negativi sulla gestione e sull’esercizio dell’attività amministrativa in termini, tra l’altro, di efficienza, efficacia, speditezza e trasparenza. In altre parole, si è fatto del computer, ossia del principale mezzo informatico, una moderna macchina da scrivere. Il perdurare, ancora oggi, di questa mentalità nostalgicamente legata al mondo analogico-cartaceo è imputabile in parte, come già detto, ad un’inadeguata educazione circa l’universo cibernetico e digitale, e in parte ad una reazione di rigetto, neanche troppo latente, nei confronti del cambiamento, del “nuovo che avanza”, che rischia di sovvertire lo status quo di ruoli e posizioni di potere assunti all’interno dell’organizzazione amministrativa. Il primo passaggio logico da compiere in vista di un’informatizzazione generale dell’attività amministrativa è quello di porre, inevitabilmente e naturalmente, il procedimento amministrativo informatico al centro del sistema normativo di riferimento. L’antidoto per debellare l’“informatica parallela” è necessariamente la riorganizzazione dei sistemi di lavoro, poiché l’informatizzazione di un procedimento non consta soltanto di una semplice trasformazione del processo manuale in processo automatico. Affinché le disposizioni del Codice dell’Amministrazione Digitale
(“CAD”) (24) non rimangano sulla carta, lato sensu, e cioè meramente programmatiche, si è reso necessario innovare i c.d. processi organizzativi nella loro essenza, cosicché i tempi e i modi dell’agire amministrativo potessero risultare compatibili con l’integrazione informatica e telematica, superando la frattura tra innovazione tecnologica e innovazione amministrativa. Ripensare il procedimento amministrativo esclusivamente dal lato formale non è un’operazione sufficiente né utile, tantomeno di portata rivoluzionaria: in realtà, è necessario concepire diversamente la realtà organizzativa in cui esso si cala. In altri termini, è occorsa una profonda e consapevole revisione delle relazioni organizzative inter ed intramministrative, semplificando i procedimenti e ridefinendo i rapporti istituzioni-cittadini. Informatizzare e automatizzare il procedimento amministrativo non significa semplicemente traslare l’impianto tradizionale di questo all’interno del contesto digitale. Occorre, in primis, pervenire ad una nuova ed innovativa concezione della struttura procedimentale, in secundis, ragionare in maniera critica sull’articolazione dell’amministrazione dal punto di vista organizzativo. Il tutto deve essere coniugato tenendo bene in considerazione le peculiarità e le potenzialità proprie delle ICT. Per comprendere i cambiamenti che l’informatica e la telematica hanno prodotto nei confronti della PA sotto vari punti di vista (organizzativo, della lavorazione delle pratiche, della produzione di atti e documenti, gestionale, del rapporto inter ed intramministrativo e con l’utenza), è opportuno provare a rispondere ad una serie di questioni preliminari: se a) il tradizionale contesto cartaceo, e specialmente il supporto usato per contenere le informazioni, può aver condizionato o meno gli istituti che compongono la struttura del procedimento amministrativo; b) la gestione telematica del procedimento può influire o meno sulla struttura e sulla funzionalità di tali istituti; c) si registrano o meno cambiamenti anche sul fronte dei principi generali organizzatori; d) il procedimento amministrativo ha comunque degli elementi strutturali che prescindono dalla dimensione e dal supporto utilizzato. In base alla l. cost. 18 ottobre 2001, n. 3 di riforma del titolo V della Carta fondamentale le scelte in materia di riorganizzazione per l’innovazione tecnologica delle amministrazioni dovrebbero rientrare nell’ambito dell’autonomia organizzativa dei soggetti pubblici cui (24) D. lgs. 7 marzo 2005, n. 82 così come modificato da ultimo dall’art. 54, comma 1, lett. a e b, d. lgs. 13 dicembre 2017, n. 217. Cfr. Masucci, Procedimento amministrativo e nuove tecnologie. Il procedimento amministrativo elettronico ad istanza di parte, Torino, 2011, 72 ss., per un’analisi del procedimento amministrativo informatizzato. Per un commento al CAD si veda Cassano - Giuardanella (a cura di), Il Codice della pubblica amministrazione digitale. Commentario al D.Lgs. n. 82 del 7 marzo 2005, Milano, 2005.
DIRITTO DI INTERNET N. 3/2020
555
PRASSI è demandato l’esercizio delle funzioni amministrative. Tale previsione implica che, anche in virtù del principio di sussidiarietà, la competenza normativa e regolamentare in materia spetterebbe in gran parte agli enti locali e alle Regioni. Visto il contesto della sanità, il sistema normativo non può che essere un sistema eterogeneo in cui alcune norme sono valide ed applicabili nei confronti di ogni PA, altre solamente nei confronti delle amministrazioni centrali. In un quadro legislativo così frammentato non si può affermare che la disciplina normativa in vigore conduca all’informatizzazione di tutti i profili dei diversi procedimenti svolti dalle PA. Se infatti il sistema normativo descritto è ineccepibile a livello costituzionale, esso collide con i principi inerenti lo svolgimento dell’azione amministrativa. Come abbiamo avuto modo di affermare in precedenza, la maggior parte dei procedimenti amministrativi è il risultato dell’azione di una molteplicità di soggetti anche appartenenti a più amministrazioni pubbliche e di differente rango costituzionale, tutti interessati dall’adozione del provvedimento finale, mentre sono esigui i procedimenti svolti nella loro interezza da un’unica amministrazione. Il rischio in cui si può incorrere attribuendo funzioni amministrative ai Comuni e agli altri enti locali, quindi, è quello di vanificare il processo di informatizzazione dei procedimenti amministrativi. Infatti, è nell’ottica di effettuare una “reductio ad unitatem” di tali principi che deve essere letto l’art. 12 del CAD, il quale, rivolgendosi indistintamente a tutte le PA dispone che al fine di realizzare procedimenti amministrativi informatici “complessi” le amministrazioni, nel rispetto della propria autonomia, si organizzino e riorganizzino i procedimenti di propria competenza utilizzando le ICT anche nei rapporti interamministrativi. Se l’introduzione delle tecnologie nei procedimenti amministrativi è libera nel se e nel quando, l’innovazione tecnologica non è libera nel modo, poiché le modalità di impiego e il valore delle ICT sono necessariamente normate in maniera uniforme per tutte le amministrazioni. Ed è questa la ragione per cui lo Stato definisce le regole tecniche indispensabili per rendere interoperabili e sicuri i collegamenti tra i sistemi informatici delle varie PA, cui dovranno attenersi le amministrazioni centrali e periferiche, nonché i privati. Se ogni soggetto pubblico impiegasse tecnologie differenziate, i soggetti coinvolti non avrebbero alcuna possibilità di instaurare un dialogo. Per consentire il pieno dispiegamento del procedimento amministrativo informatico, le diverse amministrazioni coinvolte, seppur dotate di differenti forme di autonomia e specificità, dovranno attuare il processo di digitalizzazione, in modo da garantire una graduale integrazione delle modalità di interazione tra le stesse e con l’utenza riguardo i servizi informatici da esse erogati. L’applicazione di questo
556
DIRITTO DI INTERNET N. 3/2020
principio richiede, inoltre, che il processo di digitalizzazione venga attuato con modalità indipendenti dal tipo di tecnologia impiegata. Proprio per raggiungere tali obiettivi la suddivisione del CAD è stata concepita sulla scorta della sequenza tipica dell’iter procedimentale, partendo dalla realizzazione di un documento informatico per passare alle modalità di firma, di protocollazione, di archiviazione ed infine con la trasmissione del documento stesso. Il percorso seguito dal Legislatore del CAD ha visto, prima, una raccolta della normativa esistente in ordine ai singoli elementi dell’azione amministrativa, poi un coordinamento e, talvolta, un’integrazione della normativa stessa, per giungere infine alla trasformazione delle singole fasi informatizzate in un unico procedimento. Il CAD è stato emanato in attuazione della delega contenuta nell’art. 10, l. 29 luglio 2003, n. 229, rubricata “Interventi in materia di qualità della regolazione, riassetto normativo e codificazione – Legge di semplificazione 2001”. Esso costituisce uno dei provvedimenti della nuova fase della “codificazione” che, finalizzata alla semplificazione e al riassetto normativo, si distingue rispetto ai “testi unici misti”, di cui all’abrogato art. 7, l. 8 marzo 1999, n. 50, per l’abbandono dell’inclusione delle disposizioni di rango regolamentare e per la capacità innovativa attribuita oggi al Legislatore delegato. Grazie alla sua natura, il CAD era in grado di innovare l’ordinamento, così da assicurare “la più ampia disponibilità di servizi resi per via telematica dalle pubbliche amministrazioni e dagli altri soggetti pubblici” e da garantire “ai cittadini e alle imprese l’accesso a tali servizi secondo il criterio della massima semplificazione degli strumenti e delle procedure necessari e nel rispetto dei principi di uguaglianza, non discriminazione e della normativa sulla riservatezza dei dati personali”. Entrambi questi obiettivi dovevano però essere accompagnati da un intervento esaustivo e sistematico in relazione agli strumenti portanti dell’innovazione digitale nelle PA. Il CAD venne così ad incidere sulla ormai ampia normativa in materia di “società dell’informazione” e di informatica amministrativa, in una prospettiva, che è quella che presiedeva alla relativa legge delega, coessenziale all’idea di codificazione come mezzo per costruire microsistemi legislativi, per raccogliere, cioè, delle leggi di settore al fine di garantire l’unità e la coerenza complessiva della disciplina. L’intento del Legislatore del CAD non era quello di dettare una disciplina ad hoc ed esclusiva del procedimento amministrativo informatico, bensì quello di illustrarne le relative linee guida e offrire una visione d’insieme ricavabile dal CAD stesso e da varie disposizioni ivi collocate in modo non consequenziale. È pur vero però che il procedimento amministrativo informatico risultava delineato nei suoi aspetti sostanziali, visto che tutte le fasi dell’attività amministrativa erano da gestire ed esercita-
PRASSI re in forma elettronica, a cominciare dalla produzione degli atti e dalla sottoscrizione digitale, passando per la trasmissione di atti e documenti con appositi strumenti (primo fra tutti la PEC) fino alla necessaria gestione dei documenti e dei fascicoli. La telemedicina impone un ridisegno strutturale ed organizzativo dell’intera rete assistenziale. Il suo prerequisito, comune a tutte le iniziative in materia di e-Health e ad esso trasversale, è rappresentato dalla dematerializzazione dei documenti sanitari e dalla loro centralizzazione. Per questa ragione la novellatio dell’art. 62-ter CAD, come modificato dalla l. 24 dicembre 2012 n. 228 (cd. legge di stabilità per il 2013), ha istituito l’Anagrafe Nazionale degli Assistiti (“ANA”). L’ANA, secondo quanto si legge nella Strategia per la crescita digitale, può rappresentare “un importante elemento di semplificazione per la realizzazione di un’architettura federata del FSE” (25). Essa, infatti, è stata istituita per rafforzare gli interventi in tema di monitoraggio della spesa del settore sanitario, accelerare il processo di automazione amministrativa e migliorare i servizi per i cittadini e le pubbliche amministrazioni. L’ANA garantisce la gestione dei dati anagrafici ed amministrativi degli assistiti del Servizio Sanitario Nazionale (“SSN”), l’allineamento dei dati identificativi dell’assistito e l’identificazione certa degli assistiti, nell’ambito del Fascicolo Sanitario Elettronico (“FSE”); la messa a disposizione dei dati anagrafici ed amministrativi degli assistiti ai sistemi di governance del SSN, sia a livello nazionale nell’ambito del Nuovo Sistema Informativo Sanitario del Ministero della salute (“NSIS”) sia a livello regionale. L’ANA subentra alle anagrafi e agli elenchi degli assistiti tenuti dalle singole Aziende Sanitarie Locali (“ASL”) e dai Servizi di Assistenza Sanitaria ai Naviganti (“SASN”), che mantengono la titolarità dei dati di propria competenza e ne assicurano l’aggiornamento, unificando detti dati in un’unica banca dati con i relativi assistiti. L’uniformità dei dati degli assistiti (26) è stata prevista del resto nell’ambito della programmazione dell’Agenda digitale italiana (27). In ambito locale, le regioni e
(25) AGID, Strategia per la crescita digitale 2014-2020, Roma (pubblicazione on line Presidenza del Consiglio dei Ministri), 3 marzo 2015, 75. (26) Art. 12, d.l. 18 ottobre 2012 n. 179, come modificato ed integrato dall’art. 17, l. 9 agosto 2013, n. 98, che prevede ulteriori misure per favorire la realizzazione del Fascicolo sanitario elettronico. Arsì, Il decreto del fare: il rilancio dell’economia. Il rilancio degli investimenti delle imprese, in Giorn. dir. amm., 2013, 12, 1421 ss. (27) La cabina di regia per l’attuazione dell’Agenda digitale italiana, di cui all’art. 47, comma 2, d.l. 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35, e successive modificazioni, è integrata per gli aspetti relativi al settore sanitario con un componente designato dal Ministro della salute, il cui incarico è svolto a titolo gratuito. Si veda Contaldo - Sturni, La società dell’informazione e l’agenda digitale nell’ordinamento giuridico italiano, in Riv. amm. Rep. it., 2015, n.4/5, 472 ss.
le province autonome (28), nel rispetto della normativa vigente in materia di protezione dei dati personali, istituiscono il FSE a fini di prevenzione, diagnosi, cura e riabilitazione; studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Le garanzie di tutela della privacy variano, a seconda della finalità per cui i dati sono raccolti e registrati. Pertanto, la consultazione per le finalità di prevenzione, diagnosi, cura e riabilitazione può essere realizzata soltanto con il consenso dell’assistito e sempre nel rispetto del segreto professionale, salvo i casi di emergenza sanitaria secondo le modalità individuate a questo fine. L’utilizzo a fini di studio e ricerca scientifica è attivato senza l’utilizzo dei dati identificativi degli assistiti e secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati conformi ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali. Resta inteso che il FSE viene implementato in maniera continuativa, senza ulteriori oneri per la finanza pubblica, dai soggetti che prendono in cura l’assistito nell’ambito del SSN e dei servizi socio-sanitari regionali. In termini di garanzie del cittadino, l’implementazione del FSE può avvenire esclusivamente sulla base del consenso libero e informato da parte dell’assistito, il quale può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo (c.d. facoltà di “oscuramento”). In sintesi, attraverso il FSE si consente, secondo quanto già previsto dal diritto dell’UE, l’accesso da parte del cittadino ai servizi sanitari on-line. Inoltre, per favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della sicurezza del paziente, è stato istituito anche il dossier farmaceutico quale parte specifica del FSE, aggiornato a cura della farmacia che effettua la dispensazione. Sotto il profilo tecnico, l’istituzione del FSE deve avvenire attraverso una infrastruttura tecnologica capace di inter-operare con le altre soluzioni regionali di FSE, esponendo opportuni servizi che consentono la realizzazione di una serie di processi interregionali. Per semplificare il processo, la legge di bilancio per il 2017 (29) ha introdotto l’Infrastruttura Nazionale per l’Interoperabilità (“INI”) che ha il compito di garantire l’interoperabilità dei FSE regionali. Ad oggi, tuttavia, si registra
(28) Conformemente a quanto disposto dai decreti di cui al comma 7, entro il 30 giugno 2015 (così previsto dall’art. 17, comma 1, lettera a), legge n. 98 del 2013). Per un inquadramento generale si veda Arsì, op. et loc. supra cit. (29) Legge 11 dicembre 2016, n. 232, recante “Bilancio di previsione dello Stato per l’anno finanziario 2017 e bilancio pluriennale per il triennio 2017-2019” in GU n.297 del 21-12-2016 - Suppl. Ordinario n. 57.
DIRITTO DI INTERNET N. 3/2020
557
PRASSI una certa disomogeneità nell’implementazione del FSE a livello regionale. Le regioni e le province autonome avrebbero dovuto presentare all’Agenzia per l’Italia digitale e al Ministero della salute il piano di progetto per la realizzazione del FSE, redatto sulla base delle linee guida rese disponibili dalla medesima Agenzia e dal Ministero della salute, anche avvalendosi di enti pubblici di ricerca. Tuttavia non sempre ciò è avvenuto ed almeno in due regioni il FSE non è ancora attivo (Campania e Calabria). Il d.P.C.m. 29 settembre 2015, n. 178 (“Regolamento”), inoltre, ha istituito anche i sistemi di sorveglianza e i registri di mortalità, di tumori e di altre patologie, di trattamenti costituiti da trapianti di cellule e tessuti e trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale e di impianti protesici allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita (30). L’attività di tenuta e aggiornamento dei registri è svolta con le risorse disponibili in via ordinaria e rientra tra le attività istituzionali delle aziende e degli enti del SSN ed i soggetti che possono avere accesso ai registri, e ai dati che possono conoscere, nonché le misure per la custodia e la sicurezza dei dati sono disposti da appositi provvedimenti del Ministro della salute, che devono comunque informarsi ai principi di pertinenza, non eccedenza, indispensabilità e necessità (31). Il Regolamento, inoltre, definisce i parametri che le singole Regioni e Province Autonome devono assicurare nell’istituire il FSE. In particolare, definisce i contenuti, i soggetti che concorrono alla sua implementazione, i dati soggetti a maggiore tutela dell’anonimato, l’informativa che deve essere resa all’assistito, i suoi diritti e le modalità di accesso al FSE, la titolarità dei trattamenti (e le relative modalità) sui dati per finalità di ricerca, i sistemi di codifica dei dati e alla loro interoperabilità. I contenuti del FSE sono rappresentati da un nucleo minimo di dati e documenti, nonché da dati e documenti integrativi che permettono di implementarlo. Il nucleo minimo (32) (30) Tuttavia, le regioni e le province autonome di Trento e di Bolzano possono istituire con propria legge registri di tumori e di altre patologie, di mortalità e di impianti protesici avente di rilevanza territoriale anche diversi da quelli previsti dal d.P.C.m. (31) Anche ai sensi degli art. 3, 11 e 22 del codice in materia di protezione dei dati personali, di cui al d. lgs. 30 giugno 2003, n. 196 ed alle modifiche apportate dal Regolamento UE 2016/679 del Parlamento e del Consiglio del 27 Aprile 2016. Si veda Riccio - Scorza - Belisario, (a cura di), Gdpr e normativa privacy. Commentario, Milano, 2018. (32) Tale nucleo è costituito da: i dati identificativi e amministrativi dell’assistito; i referti; i verbali di pronto soccorso; le lettere di dimissione; il profilo sanitario sintetico; il dossier farmaceutico; il consenso o diniego alla donazione degli organi e tessuti.
558
DIRITTO DI INTERNET N. 3/2020
deve essere uguale per tutte le regioni e provincie autonome, mentre l’implementazione di ulteriori dati e documenti integrativi, che sono comunque componenti del FSE, è data dalle scelte regionali in materia di politica sanitaria e del livello di maturazione del processo di digitalizzazione. Gli articoli 3 e 4 del Regolamento delineano, rispettivamente, il profilo sanitario sintetico, il c.d. “patient summary”, e il taccuino personale dell’assistito. In particolare, il primo è il documento socio-sanitario informatico che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta per favorire la continuità di cura, permettendo un rapido inquadramento dell’assistito al momento di un contatto con il SSN (33). Il taccuino personale dell’assistito, invece, consente all’assistito di alimentare il FSE mediante l’inserimento di dati e documenti personali relativi ai propri percorsi di cura, anche effettuati presso strutture al di fuori del SSN. Queste informazioni, in quanto non certificate dal SSN, devono essere distinguibili da quelle inserite dai soggetti che concorrono all’implementazione del FSE ovvero personale che opera nelle ASL e nelle strutture sanitarie, medici convenzionati con il SSN, e ogni altro soggetto, che operi all’interno del SSN.
4. Verso un Open Government sanitario
Con l’espressione “open government” si intende una nuova concezione di Governo a livello centrale e locale, basato su modelli, strumenti e tecnologie che consentono alle PA di rendere la propria attività aperta, trasparente e disponibile nei confronti, in primis, dei cittadini. È indubbio che il passaggio all’open government segni una nuova fase nella gestione della res publica, gestione che si basa su un massiccio e consapevole sfruttamento della rete (34). Questa è dunque la nuova sfida per il policy maker: la creazione di processi di governo elettronico realmente efficaci ed orientati ad una reale interazione tra cittadini, tra le amministrazioni e tra amministrazione e cittadini. Un modello di amministrazione improntato sull’open government, soprattutto nel settore sanitario, esige, quindi, un ripensamento da parte degli enti e delle istituzioni pubbliche di schemi operativi e processi decisionali consolidati, specialmente dal punto di vista delle
(33) I dati essenziali che compongono il profilo sanitario sintetico sono quelli individuati nel disciplinare tecnico allegato al decreto. In caso di variazione del sistema, sarà facoltà degli administrators mantenere il documento precedentemente redatto oppure redigerne uno nuovo. Ogni modifica o aggiornamento al profilo sanitario sintetico implica, comunque, la creazione di una nuova versione, separata da quella originaria. (34) Cfr. Colucciello - De Chiara - Guadagno - Todesco, Open government. Proposte per la pubblica amministrazione, Napoli, 2012, 91 ss.
PRASSI modalità e degli strumenti attraverso i quali si espleta la relazione con il cittadino. Diversi sono gli attori chiamati a rendere vivo l’open government (cittadini, imprese, istituzioni centrali e locali, organizzazioni non governative, ASL, singole strutture ospedaliere) in un processo che combina top-down (dall’alto verso il basso e, quindi, da istituzioni internazionali, governi, parlamenti, amministrazioni locali e ASL) e bottom-up (dal basso verso l’altro e quindi da fondazioni, associazioni, organizzazioni non governative). Infatti, ai grandi progetti e portali di e-government hanno continuato ad affiancarsi progetti bottom-up, accompagnati da iniziative di meso-livello e poi anche da politiche pubbliche di macro-livello. L’open government si configura come una nuova modalità d’essere dell’amministrazione, nata per riavvicinare, non solo idealmente, governanti e governati e per rinsaldarne il rapporto fiduciario. È proprio la fiducia, infatti, come anticipato in precedenza, il tassello mancante per l’integrazione dell’e-Health con i sistemi sanitari nazionali. Tuttavia, è chiaro che per rendere il modello funzionante è stato necessario implementare e ripensare i meccanismi della trasparenza, partecipazione e collaborazione che si sono tradotti in sinonimi, rectius cardini, dell’open government. L’amministrazione sanitaria open dovrà essere trasparente, partecipativa e collaborativa (35). La trasparenza favorisce e promuove la responsabilità, fornendo ai cittadini le informazioni sulle attività dell’amministrazione. Per questo, il “Memorandum Obama” divenuto manifesto della nuova relazione politica che il 44° presidente degli Stati Uniti ha voluto instaurare con i suoi cittadini, impegna l’amministrazione a prendere provvedimenti legislativi e ad adottare regolamenti che consentano la rapida apertura dell’informazione in forme facilmente reperibili (on line) e usabili, cioè in formati aperti. Le amministrazioni, inoltre, devono sollecitare i feedback degli utenti nell’indicare quali informazioni sono considerate particolarmente utili. La partecipazione dei cittadini, invece, migliora l’efficacia dell’attività amministrativa, soprattutto in ambito sanitario, ma anche la qualità delle decisioni. L’amministrazione sanitaria viene pertanto incentivata a coinvolgere i cittadini anche nella definizione di modalità che aumentino e migliorino le opportunità di partecipazione. La collaborazione consente di coinvolgere direttamente i cittadini nelle attività dell’amministrazione, con reciproci benefici. Perciò, le agenzie e i dipartimenti dovrebbero usare strumenti e metodi innovativi mirati al miglioramento della collaborazione, tanto tra i vari livelli dell’amministrazione, quanto tra questi e il pubblico (le organizzazioni no profit, le imprese, i privati cittadini).
(35) Cfr. Mancarella, op. et loc. supra it.
Collocando i principi dell’open government sanitario all’interno del contesto tecnologico in cui sono inseriti, si osserva che l’accesso aperto alle informazioni e ai dati sanitari dà avvio ad un processo in grado di trasformare l’idea stessa di offerta dei servizi sanitari. La formula dell’open government ha visto così un progressivo e repentino impiego nel contesto internazionale, nei dibattiti pubblici, in documenti ufficiali, a livello legislativo (36). Tuttavia, non è il solo termine che rimanda all’idea di openness: vi sono anche i concetti di open data, open source, open access e open content. All’open government, tuttavia, è strettamente legato il concetto di open data, espressione con la quale “si fa riferimento ad una filosofia, che è al tempo stesso una pratica, che implica che alcune tipologie di dati siano liberamente accessibili a tutti, senza restrizioni di copyright, brevetti o altre forme di controllo che ne limitino la riproduzione”. L’open government sanitario è da molti è considerato uno dei pilastri più importanti su cui deve reggersi una democrazia moderna e ben funzionante, in quanto capace di riconciliare e tenere saldi questi due aspetti. Altrimenti detto, in esso e attraverso di esso l’e-democracy e l’e-government sembrano poter convergere. L’open government sanitario e i suoi tre cardini offrono nuove opportunità di interazione e di collaborazione delineando una prospettiva non solo formale ma anche sostanziale. Guardando ai confini nazionali, i concetti di open data, open source, open access, open content affiancano ed ampliano il principio cardine della trasparenza e ne sono corollari. Questo perché l’open government viaggia sugli stessi binari della trasparenza, o meglio, di quella versione della trasparenza che si è incardinata nell’ordinamento italiano, nello specifico per quanto riguarda l’amministrazione della sanità e, in generale, per le istituzioni pubbliche. L’open government incarna un concetto di trasparenza di livello superiore, come complessiva condizione di conoscibilità e responsabilità (accountability) per tutta la comunità. Generalmente tra open government e trasparenza c’è una ampia sovrapponibilità, in quanto il primo ingloba ma non coincide o sostituisce il secondo. Nell’ordinamento italiano, l’open government può essere ricavato a partire da un altro concetto, quello di accessibilità, che risulta più debole sotto il profilo della trasparenza. Secondo la delibera Civit (le cui competenze sono confluite ora in Anac) del 14 ottobre 2010, n. 105, recante “Linee guida per la predisposizione del Programma triennale per la trasparenza e l’integrità”, “l’accessibilità totale presuppone, invece, l’accesso da parte dell’intera collettività a tutte le informazioni pubbliche, secondo il paradigma della libertà di informazione dell’open government
(36) Cfr. Carloni, L’amministrazione aperta. Regole, strumenti, limiti dell’open government, Rimini, 2014, 51 ss.
DIRITTO DI INTERNET N. 3/2020
559
PRASSI di origine statunitense”. Rimangono dei profili ben distinti, in quanto l’open government rimanda ad un modello di amministrazione che ruota attorno non soltanto al principio di conoscibilità (quindi di trasparenza), ma anche a ciò che concerne le comunicazioni e ai modelli di relazione “aperti”, dunque a forme di interazione basate su bidirezionalità, condivisione e partecipazione ai processi decisionali dell’amministrazione, che l’avvento delle ICT ha permesso di realizzare. Stando a quanto stabilito nell’Open Government Partnership (“OPG”) del 2001, cui hanno aderito 63 Paesi inclusa l’Italia, l’open government è concepito come un fenomeno costituito da diritti informativi e partecipativi, dai principi di trasparenza e accountability, dallo strumento dell’open data. I Paesi sottoscrittori e aderenti all’OPG si prodigano nel promuovere un modello di open government che offra un ampio patrimonio informativo pubblico, supporti ed incentivi la partecipazione degli utenti, innalzi i livelli di condotta dei funzionari, promuova l’impiego delle ICT a fini partecipativi e di trasparenza, la quale risulta di larga portata ed agevole anche perché di fronte ad una moltitudine di dati, specie se elementari, si può procedere ad analizzarli ed a veicolarli nell’ottica di un controllo diffuso sul funzionamento delle istituzioni. Le ICT, per un verso, permettono ai cittadini di accedere e di partecipare, principalmente attraverso internet, in ordine ad una quantità rilevante di informazioni e dati di interesse e nel possesso delle PA; per altro verso, consentono di reperire e gestire una mole di dati strumentali e riutilizzabili per l’agere administrandi. È bene ricordare però che né internet né il big data government sono di per sé stessi in grado di realizzare automaticamente o pacificamente l’open government. Le ICT, e nello specifico internet, altro non sono che degli strumenti eccezionali che catalizzano l’innovazione e la trasformazione del funzionamento delle istituzioni pubbliche, tuttavia non sufficienti per raggiungere la meta finale. La digitalizzazione deve essere vista e impiegata nella misura in cui sostiene e rafforza le riforme amministrative e non come strumento sostitutivo di queste. L’apertura allora dà corpo all’evolversi dell’amministrazione e quindi del rapporto tra istituzioni ed individui, in particolare tra burocrazia sanitaria e paziente. Focalizzando l’attenzione sul sistema amministrativo, allora tanto la trasparenza quanto l’open government rappresentano la cartina di tornasole del cambiamento generale del modello di amministrazione sanitaria. Ulteriore distacco dal modello amministrativo tradizionale è segnato da modelli che guardano alla collaborazione, essendo quest’ultima il terzo pilastro dell’open government. Nel momento in cui i cittadini prendono parte alla cura di interessi pubblici, si giunge ad un modello di amministrazione condivisa ancora più evoluto che in ambito dell’informazione e dei diritti a conoscere li ren-
560
DIRITTO DI INTERNET N. 3/2020
de avviati ad una cittadinanza più consapevole nell’esercizio dei propri diritti (37).
(37) Cfr. Arena, Cittadini attivi. Un altro modo di pensare l’Italia, Bologna, 2006, 45 ss.
PRASSI
Profili di tutela delle aziende al tempo del coronavirus di Andrea Gentile Sommario: 1. Premessa. - 2. Il D.Lgs. 231/2001 e il virus COVID – 19. - 3. Raccomandazioni in tema di protezione dei dati personali. 4. - - Considerazioni conclusive. Il presente saggio esamina i profili di Responsabilità delle Aziende nell’ambito di quanto previsto dal D.Lgs. 231/01 con particolare riferimento alle tematiche della Salute e Sicurezza dei Lavoratori – art. 25 septies D.Lgs. 231/01 “Reati di omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro” ed ancora gli aspetti applicativi relativi alla recente normativa sulla privacy in conformità al regolamento UE 2016/679 ed alla normativa vigente in materia di protezione dei dati personali a seguito dell’emergenza correlata alla diffusione del Virus COVID-19 meglio noto come Coronavirus. Partendo dai disposti delle menzionate normative di riferimento saranno dapprima considerate le misure necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro, e di seguito saranno analizzate le connesse azioni da intraprendere sotto il profilo della normativa sulla privacy volte a contenere il rischio di contagio all’interno delle aree aziendali. This essay examines the responsibility of companies within the scope of the Legislative Decree no. 231/01 with particular reference to the issues of Health and Safety of Workers - art. 25 septies of the Legislative Decree no. 231/01 “Crimes of manslaughter or serious or very serious injuries committed in violation of the rules on the protection of health and safety at work” - and also the application issues relating to the recent legislation on privacy in accordance with EU Regulation no. 2016/679 and the current legislation on the protection of personal data following the emergency related to the spread of the COVID-19 Virus better known as Coronavirus. Starting from the provisions of the above mentioned regulations, first of all the measures necessary to protect the physical integrity and moral personality of the employees will be considered, and then will be analyzed the related actions to be taken from the point of view of privacy regulations aimed at limiting the risk of contagion within the company areas.
1. Premessa
L’emergenza legata alla diffusione del virus Covid-19 meglio noto come Coronavirus – ha sortito profondi e significativi riflessi sulla vita delle persone e delle imprese. La recente dichiarazione di pandemia da parte della OMS (1) ha di fatto aperto le porte ad una serie di provvedimenti normativi “restrittivi” che il Governo ha inteso adottare mediante diverse disposizioni necessarie e urgenti susseguitesi (2).
(1) L’Organizzazione mondiale della sanità, il 30 gennaio 2020, ha dichiarato l’epidemia da COVID-19 un’emergenza di sanità pubblica di rilevanza internazionale e successivamente, l’11 marzo 2020, ha valutato la stessa emergenza come pandemia in considerazione dei livelli di diffusività e gravità raggiunti a livello globale. (2) Tra le disposizioni necessarie e urgenti - costituenti la c.d. normativa emergenziale - emanate al fine di adottare misure di contrasto e contenimento alla diffusione del virus COVID-19 si segnalano, in particolare: Decreto-legge 23 febbraio 2020, n. 6 “Misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19” (G.U. Serie Generale , n. 45 del 23 febbraio 2020); Decreto del presidente del consiglio dei ministri 23 febbraio 2020 “Disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19”(G.U. Serie Generale , n. 45 del 23 febbraio 2020); Circolare del Ministero della salute prot. n. 5443 del 22 febbraio 2020 “Disposizioni in materia di gestione dei casi di infezione da SARS COV-2”; Ordinanza del Ministro della salute del 21 febbraio 2020, pubblicata nella Gazzetta Ufficiale n. 44 del 22 febbraio 2020 “Ulteriori misure profilattiche con-
tro la diffusione della malattia infettiva COVID-19”; Decreto del presidente del consiglio dei ministri 25 febbraio 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19”(G.U. Serie Generale , n. 47 del 25 febbraio 2020); Decreto del presidente del consiglio dei ministri 01 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19”(G.U. Serie Generale , n. 52 del 01 marzo 2020); Decreto del presidente del consiglio dei ministri 04 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale” (G.U. Serie Generale , n. 55 del 04 marzo 2020); Decreto del presidente del consiglio dei ministri 08 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19” (G.U. Serie Generale , n. 59 dell’ 08 marzo 2020); Decreto del presidente del consiglio dei ministri 09 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale” (G.U. Serie Generale , n. 62 del 09 marzo 2020); Decreto del presidente del consiglio dei ministri 11 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale” ” (G.U. Serie Generale , n. 64 dell’ 11 marzo 2020); Ordinanza del Ministro della salute del 20 marzo 2020, pubblicata nella Gazzetta Ufficiale n. 73 del 20 marzo 2020 “Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale”; Decreto del presidente del consiglio dei ministri 22 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’e-
DIRITTO DI INTERNET N. 3/2020
561
PRASSI Il virus ha assunto nel breve termine una capacità di contagio inarrestabile, di fatto obbligandoci a radicali quanto doverosi comportamenti di distanziamento sociale finalizzati ad evitare un “effetto domino” in ordine alla sua diffusione. I molteplici Decreti del Presidente del Consiglio dei Ministri ed i provvedimenti di restrizione emanati dalle Autorità territoriali, volti a fronteggiare tale drammatica condizione emergenziale, richiedono ai destinatari di provvedere quotidianamente all’adozione di comportamenti preventivi e di veri e propri “protocolli di comportamento” funzionali ad un’imponente limitazione dei rischi epidemiologici. In questo delicato momento storico, vieppiù caratterizzato da un quadro normativo in continua evoluzione, il compito dell’imprenditore risulta, dunque, essere particolarmente complesso e articolato in quanto si snoda su più fronti che vanno dalla gestione del personale alla complessiva revisione e riorganizzazione delle attività, avendo di mira, quale obiettivo primario, la garanzia della salute dei dipendenti. Nonostante la temporanea sospensione di numerose attività imprenditoriali permane la piena operatività di comparti di produzione di beni e di erogazione di servizi con riguardo ai quali l’Esecutivo ha fornito indicazioni atte a contrastare la diffusione dell’epidemia, rimettendo ai datori di lavoro le scelte operative. Alla luce delle predette evenienze, in siffatto contesto emergenziale acquista rinnovata rilevanza quanto previsto dall’art. 2087 c.c. in base al quale “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Tale previsione, avente carattere generale, trova poi specifica declinazione in apposite previsioni legislative, in particolare nel D.Lgs. 81/2008, Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro. Il datore di lavoro risponderà, dunque, delle valutazioni svolte e delle decisioni assunte, assumendosi il rischio,
mergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale” ” (G.U. Serie Generale , n. 76 del 22 marzo 2020); Decreto del presidente del consiglio dei ministri 01 aprile 2020 “disposizioni attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, applicabili sull’intero territorio nazionale” ” (G.U. Serie Generale, n. 88 del 2 aprile 2020). Peraltro, in questa Rivista, 2020, 327, può leggersi Spangher, Covid-19 e udienze penali: brevi riflessioni, in cui l’A. prende in esame specificamente alcuni aspetti di novità introdotti al riguardo dal d.l. 17 marzo 2020, n. 18, pervenendo a riflessioni più ampie sul giudizio di fondo che – in un periodo di emergenza sanitaria - può essere espresso nei confronti della celebrazione dei processi “da remoto”, senza ostracismo alcuno ma nella consapevolezza dell’esistenza di talune, inesorabili, limitazioni al diritto di difesa.
562
DIRITTO DI INTERNET N. 3/2020
in caso di riscontrate contestazioni, di incorrere in possibili profili di responsabilità personale (3).
2. Il D.Lgs. 231/2001 e il virus COVID - 19
Occorre valutare, nella situazione di cui si discute, come tali circostanze e le imponderabili dinamiche di diffusione del virus, espongano a potenziali rischi non soltanto le persone fisiche ma anche gli enti in quanto tali. In caso di contagio, difatti, la mancata adozione delle più adeguate misure precauzionali di tutela potrebbe esporre l’azienda alla responsabilità - formalmente amministrativa ma sostanzialmente penale - prevista dal D.Lgs. 231/2001 (4). Infatti, tra i c.d. reati presupposto, al cui verificarsi risponde anche la Società – assume, in questo senso, particolare rilievo l’art. 25 septies del decreto che ha inteso includere nel corpus normativo le fattispecie di omicidio colposo e lesioni colpose gravi o gravissime commes (3) Con riferimento agli ambiti di responsabilità penale, in particolare, si rileva come già la sola violazione delle disposizioni del D. Lgs. 81/08 integri di per sé – ovvero a prescindere dalle più gravi ipotesi di reato di lesioni o omicidio colposo del lavoratore in violazione delle norme sulla tutela della salute e della sicurezza sul lavoro - delle fattispecie contravvenzionali punite con la pena dell’arresto o dell’ammenda. Tali ipotesi di reato sono estinguibili mediante oblazione in sede amministrativa con il pagamento di una somma pari ad un quarto del massimo della ammenda (D. Lgs. 758/94) o dinanzi al Giudice Penale con il pagamento una sanzione pecuniaria pari ad un terzo (art. 162 c.p.), o alla metà (art. 162 bis c.p.), del massimo della pena prevista per la singola violazione. (4) La l. 29.9.2000, n. 300 all’art.11, ha delegato il governo a disciplinare la responsabilità “amministrativa” delle persone giuridiche e degli enti privi di personalità giuridica. Il d.lgs. 8 giugno 2001, n. 231, (su cui Arena – Cassano, La responsabilità da reato degli enti collettivi, Milano, 2007) in attuazione della delega, come noto, ha introdotto, nel nostro ordinamento la responsabilità “amministrativa” degli enti per i reati commessi “nel loro interesse o a loro vantaggio” da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso, ovvero da persone sottoposte alla direzione o alla vigilanza di uno dei predetti soggetti. Tale responsabilità riguarda gli enti forniti di personalità giuridica, le società e le associazioni anche prive di responsabilità giuridica, ad esclusione dello Stato, degli enti pubblici territoriali, degli altri enti pubblici non economici e degli enti che svolgono funzioni di rilievo costituzionale, e al di là dell’intitolazione contenuta nel decreto “Illecito amministrativo dipendente da reato”, è a tutt’oggi controverso se la natura del rimprovero ascrivibile all’ente sia da qualificare come amministrativo o autenticamente penale. In quest’ultimo senso sembra, decisamente, deporre il fatto che la responsabilità dell’ente è agganciata alla commissione di reati, determinati reati e non altri: in tale profilo si coglie la dimensione politica, oltre che giuridica, dell’intervento. Di recente, poi, anche la giurisprudenza ha avuto modo, a più riprese, di esprimersi a favore della natura penale della responsabilità (in tal senso, Cass. pen., 20 dicembre 2005, n. 3615, in Cass. pen., 2007, 74, e Cass. civ. s.u. 30 novembre 2009, n. 20936) e di riaffermare la contestuale applicazione dei fondamentali principi disciplinanti la materia penale con riferimento all’ente, in primis quello di legalità (v. Perini, Responsabilità dell’ente per reati ambientali e principio di legalità, nota a Cass. pen. 30 settembre 2015 n. 39373, in Diritto Penale Contemporaneo, 2015, 2, 190).
PRASSI se con violazione delle norme antinfortunistiche sulla tutela dell’igiene e della salute sul lavoro. In tal senso, difatti, l’imputabilità della Società potrebbe scaturire in relazione alle predette fattispecie, con riferimento a quei profili di “colpa in organizzazione” connessi alla violazione di determinate norme sulla tutela della salute e sicurezza nei luoghi di lavoro quali, in particolare, l’omessa o insufficiente sorveglianza sanitaria ex art. 41 D.Lgs. 81/2008, la mancata valutazione dei rischi ai sensi dell’art. 17 D.Lgs. 81/08 ovvero dei rischi derivanti dall’esposizione agli agenti biologici presenti nell’ambiente di ex art. 271 D.Lgs. 81/2008 (5). Al fine di ritenere sussistente la responsabilità dell’ente con conseguente applicazione delle sanzioni previste dalla normativa (6), dovrebbe essere, in ogni caso, accertato che i reati di lesioni gravi o gravissime ovvero di omicidio colposo siano stati commessi nell’interesse o comunque a vantaggio dell’ente stesso. Tale presupposto oggettivo potrebbe essere ritenuto sussistente nell’ipotesi in cui la società abbia omesso di adottare le misure di prevenzione del contagio allo scopo di risparmiare sui costi per l’adeguamento delle misure medesime ovvero
(5) Le organizzazioni aziendali secondo quanto previsto dall’art. 30 del D.Lgs. 81/08 hanno l’onere di dimostrare la definizione di un modello organizzativo e gestionale da adottare ai sensi del D.lgs. 231/01 che includa: un’adeguata valutazione dei rischi e le conseguenti misure di prevenzione e protezione conseguenti per i lavoratori, con particolare riferimento al rischio biologico – art. 271 D.Lgs. 81/08; appropriati provvedimenti per evitare che le misure tecniche e organizzative possano causare rischi per la salute dei dipendenti, verificando periodicamente la perdurante assenza di rischio (incluse le modalità lavorative in in ottemperanza alle disposizioni ministeriali per prevenire il contagio); le adeguate misure di sorveglianza sanitaria – art. 41 D.Lgs. 81/08; informazione e formazione dei lavoratori – art. 36 D.Lgs. 81/08; la vigilanza e il rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori. (6) L’apparato sanzionatorio a disposizione del giudice penale risulta particolarmente incisivo e articolato. Si prevedono, infatti: 1) sanzioni pecuniarie; 2) sanzioni interdittive; 3) confisca; 4) pubblicazione della sentenza. A loro volta le sanzioni interdittive consistono: a) nell’interdizione dall’esercizio dell’attività; b) nella sospensione o nella revoca di autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; c) nel divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) nell’esclusione da agevolazioni, finanziamenti, contributi o sussidi e nell’eventuale revoca di quelli già concessi; e) nel divieto di pubblicizzare beni e servizi. Sono sanzioni che in grandissima parte, provengono dal diritto penale, ove quella pecuniaria assolve la funzione di pena principale mentre la gran parte delle sanzioni interdittive e la pubblicazione della sentenza sono considerate pene accessorie. Per ciò che riguarda la confisca, occorre segnalare che la sua estensione anche alla moderna forma c.d. per equivalente ne esalta il contenuto afflittivo, in coerenza alla riconosciuta natura di sanzione principale e obbligatoria che riveste all’interno del sistema di responsabilità ascrivibile all’ente.
per incrementare la produttività, a scapito della salute dei lavoratori (7). Un siffatto frangente, connotato dal carattere particolarmente diffusivo dell’evolversi situazione epidemiologica, impone in modo stringente per l’azienda l’indifferibile adozione di misure comportamentali di tutela; in primis quella di un’idonea attività di valutazione dei rischi in ambito lavorativo (8). In primo luogo, infatti, il datore di lavoro, in collaborazione con l’RSPP (Responsabile del Servizio di Prevenzione e Protezione), il medico competente e tutte le altre figure coinvolte nella gestione del “sistema-salute” e della sicurezza aziendale, è chiamato a considerare l’eventuale aggiornamento del DVR (Documento Valutazione dei Rischi) mediante l’integrazione di tutti i rischi inerenti gli “agenti biologici”, avendo chiaramente cura di considerare il fatto che si tratta di uno scenario circostanziale e in continua evoluzione. Muovendo da tali presupposti, al fine di tutelare la salute e la sicurezza di tutti i lavoratori, al datore di lavoro competerà, pertanto, adottare adeguate misure precauzionali preventive, finalizzate ad aumentare il livello di sicurezza all’interno di ciascuna realtà aziendale. In tale ambito, assumono particolare rilevanza i precetti imposti dal Governo e le raccomandazioni diffuse dalle autorità sanitarie, suscettibili di rappresentare una base utile per l’aggiornamento del Documento di Valutazione dei Rischi ovvero ai fini della redazione di appositi piani di intervento, segnatamente: la sanificazione dei luoghi di lavoro assicurando la salubrità degli ambienti; la diffusione di idonei dispositivi di protezione individuale (anche sotto il profilo ergonomico); la sospensione di tutti i corsi di formazione in aula e il divieto di effettuare incontri collettivi in situazioni di affollamento in ambienti chiusi, privilegiando soluzioni di comunicazione a distanza; il rispetto, nello svolgimento di incontri o riunioni, delle modalità di collegamento da remoto o, in alternativa, il rispetto del “criterio di distanza droplet” (almeno 1 metro di separazione tra i presen-
(7) Si tratta, cioè, di valorizzare l’ormai consolidata prospettiva interpretativa (tra le altre, App. Brescia, 14 dicembre 2011) secondo cui l’interesse dell’ente non sarebbe più colto in relazione al reato, così come per gli illeciti dolosi, bensì all’attività d’impresa nel corso della quale si perfeziona il reato (interesse mediato) e trova riscontro nel conseguente risparmio di spese che si sarebbero dovute sostenere per prevenire il rischio connesso alle condotte colpose poste in essere e per evitare la commissione di reati della medesima specie di quelli verificatisi (In argomento si veda D’Arcangelo, La responsabilità da reato degli enti per gli infortuni sul lavoro, in Riv. 231, 2008, 9). Sul concetto di risparmio di spesa da ultimo si veda Cass. pen., Sez. IV, 27 settembre 2019, n. 39741. (8) In proposito si veda “Vademecum per la Gestione del Rischio Coronavirus in ambito lavorativo Vers. 1.5 - Aggiornata al 01/03/2020” in <www.aias-sicurezza.it>; Cfr. inoltre la nota n. 89 del 13 marzo 2020 dell’Ispettorato Nazionale del Lavoro in tema di “Adempimenti datoriali –valutazione rischio emergenza coronavirus”.
DIRITTO DI INTERNET N. 3/2020
563
PRASSI ti); la regolamentazione dell’accesso agli spazi destinati alla ristorazione (es. mense), allo svago o simili (es. aree relax, sala caffè, aree fumatori), mediante programmazione del numero di accessi contemporanei o mediante applicazione del “criterio di distanza droplet”. Sulla base dei predetti criteri deve poi seguire l’indicazione specifica delle norme di comportamento da adottare in caso di contagi sospetti o confermati (9). Tali evidenze rendono quanto mai chiaro che l’aggiornamento del documento di valutazione dei rischi non può sostanziarsi in un mero adempimento di natura formale. L’azienda dovrà dimostrare, in concreto, di aver adottato efficaci misure in grado di elevare il livello di sicurezza, allo scopo di rendere effettivo l’onere di prevenzione che grava sul datore lavoro. Spetterà a quest’ultimo, sulla base delle disposizioni fornite dalle Autorità nazionali e locali, la predisposizione di un piano di emergenza specifico in caso di rischio di contagio, nonché la definizione – demandata al medico competente ai sensi dell’art. 41 D.lgs. 81/2008 - di un protocollo speciale in tema di sorveglianza sanitaria idoneo a prevedere in concreto tutte le azioni di prevenzione che attengano sia all’ambito strettamente igienico-sanitario (la pulizia dei luoghi, l’addestramento del personale, i controlli periodici) sia agli aspetti di natura organizzativa, valutando caso per caso la mobilità del personale. Appare, poi, in tale ottica, quanto mai doveroso adottare e attuare tempestivamente ed efficacemente idonei protocolli di prevenzione dei rischi da Covid-19, in piena conformità alla normativa emergenziale e alle disposizioni delle autorità pubbliche, comprensivi di misure miranti a: rivedere in modo selettivo tutti gli spostamenti dei dipendenti, limitando quelli verso le zone a rischio; potenziare il ricorso agli strumenti digitali che consentano di organizzare riunioni e incontri di lavoro anche senza la necessità della presenza fisica; incentivare le forme di lavoro a distanza attraverso il cd. “lavoro agile” (10) e, in particolare, le soluzioni di smart working; (9) A tali indicazioni vanno ad aggiungersi le misure di potenziamento delle attività di pulizia come indicate dal Ministero della Salute, segnatamente: incentivare il personale a lavarsi spesso le mani con soluzioni idroalcoliche, a non toccarsi occhi, naso e bocca con le mani e a coprirsi naso e bocca se si starnutisce o tossisce; pulire le superfici con disinfettanti a base di cloro o alcool; favorire uso di mascherina in ambienti chiusi; contattare i numeri di emergenza se i dipendenti presentano febbre, tosse o difficoltà respiratorie. (10) Istituto disciplinato dagli articoli da 18 a 23 della Legge 22 maggio 2017, n. 81. Qualora si verifichino le condizioni ivi indicate gli obblighi di informativa di cui all’art. 23 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell’Istituto nazionale assicurazione infortuni sul lavoro
564
DIRITTO DI INTERNET N. 3/2020
assicurare che vi sia un dialogo costante con il personale, onde ottenere informazioni utili ad identificare eventuali pericoli e fornendo tutte le istruzioni utili a ridurre l’esposizione al rischio (11).
3. Raccomandazioni in tema di protezione dei dati personali
Nell’attuazione delle misure precauzionali all’interno delle aziende, la raccolta di informazioni sui movimenti e sullo stato di salute di dipendenti, fornitori e visitatori determina un trattamento di dati personali da svolgersi in conformità con il Regolamento (UE) 2016/679 e con le disposizioni in materia di protezione dei dati personali. In particolare, l’adozione di misure quali l’utilizzo di moduli di autodichiarazione e di questionari volti ad indagare sugli spostamenti effettuati, sullo stato di salute e sull’esposizione al rischio Covid-19 di tutti coloro che accedano presso le sedi o le unità locali ovvero l’applicazione delle misure eventualmente stabilite dal protocollo speciale sulla sorveglianza sanitaria (12), dovrà essere valutata di volta in volta alla luce dei principi di necessità del trattamento e di minimizzazione dei dati.
(INAIL). A riguardo, in data 01/03/2020, è stato approvato il decreto del Presidente del Consiglio dei Ministri contenente ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19 (il “Decreto Attuativo”). In particolare, l’articolo 4 del Decreto Attuativo riconosce ai datori di lavoro la possibilità di implementare lo Smart Working (lo “SW”), su tutto il territorio nazionale, per la durata dello stato di emergenza e, quindi, per un totale di n. 6 mesi, decorrenti dal 31/01/2020 (deliberazione del Consiglio dei ministri 31 gennaio 2020). (11) Si veda, in particolare, oltre al menzionato art. 30 del D.Lgs. 81/2008, la citata normativa emergenziale, il Protocollo 14 marzo sottoscritto, in attuazione di quanto previsto dall’art.1, comma 1, n. 9), del DPCM 11marzo, tra il Governo e le parti sociali e richiamato dal DPCM 22 marzo − e quindi divenuto obbligatorio per le imprese le cui attività non sono sospese − ed eventuali protocolli condivisi relativi a settori specifici (quale il “Protocollo condiviso di regolamentazione per il contenimento della diffusione del COVID-19 nei cantieri edili” del 19.03.2020). Il Protocollo 14 marzo, successivamente integrato in data 24 aprile, prevede, in particolare, misure in tema di informazione, modalità di ingresso in azienda, modalità di accesso dei fornitori esterni, pulizia e sanificazione in azienda, precauzioni igieniche personali, dispositivi di protezione individuale, gestione degli spazi comuni, organizzazione aziendale (turnazione, trasferte, smart working, rimodulazione dei livelli produttivi), gestione dell’entrata e dell’uscita dei dipendenti, spostamenti interni, riunioni, eventi interni e formazione, gestione di persona sintomatica in azienda, sorveglianza sanitaria/medico competente/RLS e aggiornamento del protocollo, contemplando tra l’altro la costituzione in azienda di un Comitato per l’applicazione e la verifica delle regole del protocollo. In tema si veda anche il paragrafo “Misure a sostegno del lavoro –Impatti sui rapporti di lavoro”. (12) In questo senso, anche la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR).
PRASSI Sotto tale aspetto particolare importanza rivestirà l’introduzione di meccanismi in grado di censire l’eventuale ingresso di soggetti (fornitori, consulenti e clienti) potenzialmente a rischio nel quadro di una debita ponderazione tra le esigenze derivanti dall’applicazione della normativa sulla privacy (13) con quelle di tutela della salute dei dipendenti nel doveroso e costante bilanciamento tra istanze personaliste e solidariste garantite dalla nostra Costituzione. In tale prospettiva, è opportuno valutare se l’obiettivo che si intende perseguire possa essere conseguito o non con modalità alternative e senza dover necessariamente ricorrere al trattamento di dati personali ovvero - con particolare riferimento ai dati sanitari – mediante soluzioni meno invasive e che possano risultare sufficienti a fini di prevenzione.
(13) Il Garante della Privacy, con Comunicazione del 2 marzo 2020, ha chiarito che i datori di lavoro non possono raccogliere informazioni sulla presenza di sintomi da coronavirus dei propri dipendenti, nemmeno attraverso autodichiarazioni: bisogna sempre rivolgersi alle strutture sanitarie territoriali oppure alla protezione civile. Specifica il Garante, “la finalità di prevenzione dalla diffusione del Coronavirus deve essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”. Pertanto non sono ammesse iniziative private e raccolta dati sulla salute, ma i lavoratori e datori di lavoro devono attenersi alle seguenti indicazioni: Obblighi del lavoratore: Chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, deve comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base. Saranno le autorità sanitarie a procedere poi con gli accertamenti del caso e a prendere le necessarie misure, come ad esempio l’isolamento fiduciario. Il lavoratore ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati. Il dipendente che svolge mansioni a contatto con il pubblico, nel caso in cui venga in contatto con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati. Obblighi del datore di lavoro: I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Nel momento in cui un lavoratore segnali una situazione di pericolo per la salute nell’ambiente di lavoro, il datore di lavoro deve comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti. In linea generale, comunque, la regola è che il datore di lavoro in tutti i casi di pericolo contagio deve rivolgersi alle autorità sanitarie competenti, non prendere iniziative individuali di controllo sanitario o raccolta dati. Per quanto riguarda l’accesso dei visitatori a locali aperti al pubblico, il comportamento corretto da seguire è quello di attenersi scrupolosamente al rispetto delle disposizioni d’urgenza adottate con i diversi provvedimenti e ordinanze.
Tra le raccomandazioni da adottare, ai sensi degli artt. 6, 9 e 13 del Regolamento, si segnalano per particolare rilevanza, la collocazione di avvisi all’ingresso dei locali aziendali, che invitino i soggetti destinatari a non accedere in presenza di sintomi influenzali o laddove nei 14 giorni antecedenti abbiano avuto accesso o transitato nelle zone interessate dalle misure di urgenza adottate a livello governativo (14); l’invio di comunicazioni tramite e-mail o consegnandone copia cartacea - e comunque rendendo sempre disponibile l’informativa all’ingresso del luogo di lavoro e/o sulla intranet aziendale - al personale aziendale e ai fornitori, aventi ad oggetto protocolli comportamentali volti a prevenire i rischi di contagio in azienda, nonché informazioni sullo stato di emergenza e aggiornamenti in merito ai provvedimenti adottati a riguardo; il coinvolgimento del medico competente, quale professionista del ramo sanitario, ove sia necessario accertare l’assenza di sintomi influenzali riguardanti il personale aziendale.
(14) In tale direzione si orienta il citato Protocollo di regolamentazione, delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto tra le Parti sociali il 14 marzo 2020 e integrato il 24 aprile 2020 su invito del Presidente del Consiglio dei ministri e dei ministri competenti. Il documento, tenuto conto di quanto emanato dal Ministero della Salute, contiene linee guida condivise tra le Parti sociali per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio. Nello specifico, per ciò che concerne le modalità di ingresso in azienda, il datore di lavoro informa preventivamente i lavoratori, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. Qualora fosse necessario l’ingresso di visitatori esterni (impresa di pulizie, manutenzione, aziende in appalto, etc.), premesso che per quanto possibile va ridotto, gli stessi dovranno sottostare a tutte le regole aziendali che seguono. Al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea: se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Nell’ipotesi di persone in tale condizione, ovvero di persona già presente in azienda che sviluppi febbre e sintomi di infezione respiratoria come la tosse, queste saranno fornite di mascherine e momentaneamente isolate (in base alle disposizioni dell’autorità sanitaria); l’azienda procederà immediatamente ad avvertire le autorità sanitarie competenti e i numeri di emergenza per il COVID-19 forniti dalla Regione o dal Ministero della Salute. In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, sarà necessario assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie dovranno essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19. Allo stesso modo, nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria, o dei suoi colleghi, sarà necessario assicurare la riservatezza e la dignità del lavoratore. Anche in tale documento è ribadito che le persone con temperatura corporea superiore ai 37,5° non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.
DIRITTO DI INTERNET N. 3/2020
565
PRASSI Ancora risulterà opportuna l’introduzione di ulteriori misure di sicurezza tecniche e organizzative aventi finalità di: istruire tutto il personale coinvolto nella raccolta e nel successivo trattamento dei dati alla riservatezza degli stessi; garantire la riservatezza di coloro che risultino avere sintomi o essere positivi al virus Covid-19, comunicando lo stato di salute solo laddove necessario per garantire la sicurezza e la salute sul luogo di lavoro; coinvolgere nelle decisioni il Data Protection Officer se nominato o i responsabili privacy interni della funzione risorse umane; conservare i dati per il tempo necessario alla gestione dell’emergenza. Con riferimento alla condizione di liceità del trattamento dei dati personali ai sensi degli articoli 6, 9 e 13 del Regolamento nell’informativa è necessario inserire, quale base giuridica, l’adempimento degli obblighi di cui al Decreto “Cura Italia” e al D.P.C.M. 22 marzo 2020 e come finalità la tutela della salute e della sicurezza sul luogo di lavoro e la prevenzione della diffusione del Covid-19 (15). A riguardo, il Considerando 46 del Protocollo di regolamentazione, delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto tra le parti sociali il 14 marzo 2020 e integrato il 24 aprile 2020 prevede che “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.” Da ultimo, in ordine al ruolo del medico competente lo stesso protocollo evidenzia che “Il medico competente
(15) Sotto tale profilo, l’art. 14 del D.L. n. 14/2020 ha fornito la necessaria base giuridica del trattamento dei dati sanitari specificando che nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi delle normative di carattere emergenziale possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. In particolare, L’ordinanza n. 630 del 3 febbraio 2020 costituisce il provvedimento in base al quale, in Italia, l’esercizio dei diritti civili fondamentali dei soggetti coinvolti nell’emergenza Coronavirus, compreso il diritto alla protezione dei dati personali, può subire limitazioni in virtù dell’interesse pubblico generale alla tutela della salute pubblica, nel caso specifico.
566
DIRITTO DI INTERNET N. 3/2020
segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie”.
4. Considerazioni conclusive
Posto che gli aggiornamenti relativi all’andamento dell’epidemia di Coronavirus continuano a confermare l’evidente gravità dell’emergenza, la predisposizione di cautele e precauzioni tese a garantire la tutela del diritto alla salute pubblica deve, in questo senso, assumere un rilievo preminente. Oggi è più che mai fondamentale per le aziende provvedere a una riorganizzazione che parta dalla revisione delle misure di prevenzione, sino alla elaborazione di specifici protocolli di comportamento essenziali ai fini del contrasto alla diffusione del virus, attività che, per alcuni aspetti, non è solo opportuna, ma anche doverosa al fine di scongiurare i rischi derivanti dai diversi e gravosi profili di responsabilità che potrebbero delinearsi per le aziende e per i soggetti che a vario titolo operano o intrattengono rapporti con le stesse. L’approntamento di specifici protocolli operativi e di trasparenza, il rispetto delle disposizioni prima richiamate e delle procedure definite nei recenti protocolli di intesa tra imprese e parti sindacali, costituiscono validi presidi atti a gestire la “crociata” contro l’epidemia garantendo, però, al contempo l’indifferibile salvaguardia della dignità e il rispetto dei diritti inalienabili della persona che, anche in siffatto contesto emergenziale, non possono essere obliterati. Non di meno, infine, non può non rilevarsi come gli esaminati strumenti normativi, nati in ossequio ad una logica fisiologia volta a favorire il progressivo radicamento di una cultura aziendale della legalità, siano destinati a spiegare la loro efficacia in maniera diversa e probabilmente ancor più incisiva. Di conseguenza le scelte imprenditoriali poste a tutela della continuità dell’attività d’impresa dovranno configurare una solida rete di legalità a sostegno della “comunità” del mercato ed a salvaguardia dell’intero tessuto economico-produttivo.