Vividown vs Google: la parola della Cassazione

Con sentenza del 24 febbraio 2010, il Tribunale di Milano ha condannato gli amministratori delegati di Google Italy e il responsabile privacy di Google Inc. per la violazione dell’art.  167, commi 1 e 2, del decreto legislativo n. 196 del 2003 in materia di privacy.

Secondo il Tribunale, i tre avevano trattato i dati personali loro comunicati in violazione degli  artt. 23, 17 e 26 dello stesso d.lgs. n. 196 del 2003, con riferimento a un video caricato sul sito www.video.google.it, nel quale un soggetto affetto da sindrome di Down veniva preso in giro con frasi offensive e azioni vessatorie da altri minorenni.

La sentenza, poi riformata dalla Corte d’Appello di Milano che, diversamente, non ha ravvisato nessun illecito, è stata poi impugnata con ricorso per cassazione, dal Procuratore generale della Repubblica presso la Corte d’appello di Milano.

La Corte Suprema, però, esaminando compiutamente il quadro normativo di riferimento ed in particolare il Codice Privacy, ha rigettato il ricorso del PG, così confermando l’assoluzione dei tre.

In particolare, la Corte di Cassazione ha stabilito che dall’esame del Codice Privacy non emerge alcun obbligo, in capo al provider, di sorvegliare i dati immessi da terzi sul sito da lui gestito, né sussiste alcun obbligo di informare il soggetto che ha immesso di dati della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi.

Gli artt. 13, 17, 23, 26 del Codice Privacy, interpretati in combinato disposto con le norme sanzionatorie degli artt. 161 167 dello stesso Codice emerge, infatti, che “essi sono tutti diretti al titolare del trattamento, eventualmente nella persona del “responsabile”, ovvero del soggetto preposto al trattamento stesso dal titolare, ai sensi dell’articolo 4, comma 1, lettera g). Tali disposizioni presuppongono, infatti, l’esistenza di un effettivo potere decisionale circa: a) le finalità e le modalità del trattamento cui sono destinati i dati e la comunicazione eventuale dei dati stessi ad altri soggetti, anche attraverso la designazione dei responsabili (art. 13); b) la gestione dei rischi specifici «per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento» (art. 17); c) la ricezione del consenso degli interessati, nel rispetto dei divieti legge (artt. 23 e 26).

Ne deriva, più in particolare, che i reati di cui all’art. 167 del Codice Privacy – per i quali qui si procede – devono essere intesi come reati propri, trattandosi di condotte che si concretizzano in violazioni di obblighi dei quali è destinatario in modo specifico il solo titolare del trattamento e non ogni altro soggetto che si trovi ad avere a che fare con i dati oggetto di trattamento senza essere dotato dei relativi poteri decisionali.“

In altre parole, secondo la Cassazione, chi mette a disposizione uno spazio web perché gli altri vi pubblichino immagini, contenuti o video, non può considerarsi titolare del trattamento di tutti i dati personali ivi contenuti e, di conseguenza, non può ritenersi obbligato ad alcun adempimento a tutela della privacy dei terzi, né responsabile per le eventuali violazioni degli utenti.