La responsabilità civile degli internet service provider per i materiali caricati dagli utenti (con qualche considerazione sul ruolo di gatekeepers della comunicazione)
Pubblicato il 22/09/20 02:00 [Articolo 996]
Scarica il libro in formato pdf: http://www.ilcaso.it/articoli/1276.pdf
SOMMARIO: 1. Introduzione e delimitazione del tema. - 2. Il tipo di responsabilità. L'art. 2055 c.c. - 3. Responsabilità contrattuale o aquiliana? - 4. L'ambito soggettivo di applicazione. - 5. Si tratta di disciplina in negativo (esenzione da responsabilità), non affermativa di responsabilità. - 6) Le tre figure tipizzate e il problema della pretesa passività del provider. - 7. La pretesa passività e l'attuale modello di business delle piattaforme. - 8. Non necessità del requisito di passività (pur con qualche dubbio). - 9. Ancora ipotizzando di applicare il cons. 42 all'hosting provider. - 10. Alcune sentenze sul punto della pretesa necessità che si tratti di provider passivi. - 11. Sintesi del ragionamento sul tema della pretesa passività. - 12. Intermezzo su una recente e nota sentenza di Cassazione. - 13. Il provider di mero trasporto (art. 14 d. Lgs. 70/2003). L'inibitoria/injunction. - 14. Il caching provider (art. 15 d. Lgs. 70/2003). - 15. Cenni sul contenzioso intorno a queste prime figure di provider. - 16. L'hosting provider (art. 16 d. Lgs. 70/2003). Esatta attuazione delle norme europee? - 17. Esenzione da cosa? - 18. L'hosting provider può attendere fino al ricevimento di un ordine dell'autorità senza perdere il safe harbour? - 19. Posizione di garanzia? Primo arbitro tra interessi in conflitto, da dirimere con congruo bilanciamento. - 20. Inevitabilità del ruolo decisorio (e quindi censorio) su diritti soggettivi. Applicabilità dei diritti fondamentali anche verso enti privati come le piattaforme. - 21. (segue) recenti provvedimenti giurisdizionali italiani sul tema. - 22. Ancora sulla conoscenza richiesta dall'art. 16 c.1. - 23. Una ricostruzione della disciplina posta dall' art 16 c.1. - 24. L'art. 16 c.2. - 25. L'art. 16 c. 3. - 26. L'art. 17 c. 1: la non assoggettabilità a obbligo generale di sorveglianza o ricerca. 27. (segue) la sentenza Scarlet. Rilevanza dello stato della tecnologia, 28) Una recente opinione dell'AG presso la C.G. in causa C-18/18, Eva Glawischnig-Piesczek c. Facebook Ireland limited). - 29. L'inibitoria. Giurisprudenza europea in tema. - 30. L'inibitoria. Giurisprudenza italiana in tema. - 31. (segue:) l'ingiunzione c.d. dinamica. - 32. Sintesi sul divieto di istituire un obbligo generale di sorveglianza o ricerca ex art. 17 c. 1. Il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland limited, C-18/18. - 33. L'art. 17 c. 2. - 34. L'art. 17 c. 3. Cambiamenti in vista per la disciplina del safe harbour?
1. Introduzione e delimitazione del tema
In questo scritto esamino i principali profili di responsabilità civile degli internet provider in relazione ad illeciti generati dalla messa on line di materiali da parte dei loro utenti. Intendo il concetto di «responsabilità civile» in senso ampio e cioè riferendolo non solo al rimedio risarcitorio, come spesso si legge, ma a tutte le conseguenze previste per l'illecito civile: tra cui soprattutto l'assoggettabilità a inibitoria/injunction (a prescindere dall'esistenza di una responsabilità risarcitoria) . Questa può assumere anche un contenuto positivo appunto in termini di rimozione/disabilitazione , aspetto su cui giocano un ruolo decisivo le possibilità offerte dallo sviluppo tecnologico di un certo momento storico .
Stante la centralità dell'infrastruttura internet e dei servizi in esso presenti per qualunque attività umana o quasi, il tema, da un lato, è sempre più importante e, dall'altro, la sua disciplina giuridica non ha ancora raggiunto una soddisfacente sistemazione quanto a certezza del diritto .
Gli illeciti cagionabili dagli utenti tramite i servizi del provider possono essere di vario tipo ma soprattutto: violazione della riservatezza, violazione dell'onore o della reputazione, violazione della proprietà intellettuale (e qui particolarmente del diritto d'autore) .
Accettandosi la distinzione di base tra illecito contrattuale ed extracontrattuale, i casi normalmente considerati sono del secondo tipo (anche se nulla esclude che possano essere del primo tipo). Normalmente, infatti, la condotta lesiva tenuta non costituisce inadempimento di un'obbligazione o comunque di un dovere, sorto da una previa relazione fra le parti : basta pensare ad una diffamazione o ad una contraffazione di diritto d'autore .
Se l'utente si rende responsabile di tali illeciti, si pone il dubbio di come qualificare giuridicamente la condotta dell'internet provider, dato che la pubblicazione del materiale è avvenuta tramite il provider stesso, in qualunque forma ammessa dalle modalità di funzionamento delle piattaforme . Questo termine (platform) è preferito dalle Big Tech per definire la propria attività, allo scopo di apparire neutrali per dare meno nell'occhio e operare con minori vincoli normativi (anche se intendono al tempo stesso esercitare il potere decisionale assoluto sulla content moderation ). Possiamo accettare ad es. la definizione di piattaforme come "large technology companies that have developed and maintain digital platforms that enable interaction between at least two different kinds of actors[;] who in the process come to host public information, organize access to it, create new formats for it, and control data about it[;] and who thereby influence incentive structures around investment in public communication (including news production)" .
In ogni caso, l'applicazione del safe harbour de quo richiede che si tratti di illecito derivante dalla diffusione di "informazioni": fattispecie che non ricorre ad es. quando derivi dalla fornitura di prodotti difettosi tramite la piattaforma (Amazon), nel qual caso a quest'ultima non spetta il safe harbour (lì il § 230 CDA) . Fattispecie che ricorre invece quando la piattaforma abbia un minor coinvolgimento rispetto alla res damnosa, come succede se si limita ad anonimizzare la navigazione nel dark web (TOR) (né vedrei alcun motivo -letterale o teleologico- per escludere l'applicazione dei safe harbour alle condotte tenute sul web non indicizzato dai consueti motori di ricerca ) o se si limita a fare da bacheca per annunci di vendita di oggetti pericolosi .
Non considererò dunque i casi, in cui il provider stesso sia responsabile o corresponsabile per aver creato e/o consapevolmente diffuso il materiale illecito: penso non solo al caso di diffusione di materiale proprio, ma anche alla funzione c.d. Auto complete, che i motori di ricerca solitamente offrono, suggerendo, dopo le prime parole digitate, altre parole che -secondo le sue rilevazioni algoritmiche- vengono spesso digitate in abbinamento ad esse . Considererò solo i casi in cui egli sia estraneo a ciò: casi nei quali, dunque, il dovere da lui violato sia quello di filtraggio/rimozione dei materiali medesimi.
Nemmeno considererò il caso dei post temporanei (c.d. storie, stories), anziché permanenti, oggi assai diffusi su certe piattaforme (ad es. Snapchat, Instagram e -pur se poco conosciuto- Facebook). Si tratta di violazioni allo stato sostanzialmente non perseguibili, data la loro brevissima durata (di solito ventiquattro ore): la quale può però disturbare molto i titolari del diritto d'autore, ad es. quando siano caricati da influencer con larghissimo seguito oppure siano raccolti in compilation .
2. Il tipo di responsabilità. L'art. 2055 c.c.
Secondo lo scenario ipotizzabile, l'utente in un primo momento carica i materiali illeciti e il provider in un secondo momento (resta da capire esattamente quando: il punto è centrale) omette di rimuoverli. Per la precisione si dovrebbe dire che il dovere è duplice, dovendosi distinguere tra il dovere di rimuovere i materiali già caricati e (eventualmente) quello di disabilitare l'accesso per prevenire futuri caricamenti: questa distinzione, del resto, risulta in modo netto dalla normativa.
La disabilitazione dell'accesso potrebbe generare qualche problema contrattuale, poiché l'utente, che ha caricato i materiali (o forse il titolare dell'utenza dalla quale il caricamento è avvenuto), in mancanza di pattuizione specifica, potrebbe ravvisare in ciò un inadempimento al contratto: ma questo comunque riguarda il rapporto provider/utente e non il rapporto tra provider e terzo leso (che di seguito verrà per brevità indicato anche come "il soggetto leso").
In breve la responsabilità del provider per l'illecito de quo è una responsabilità omissiva, dal momento che non ha tenuto la condotta doverosa. In particolare, secondo una approfondita (e nelle sue linee essenziali condivisibile) ricerca, la condotta del provider si innesta su quella del suo utente, che la precede nel tempo. Il rapporto tra le due condotte è quello di un concorso sopravvenuto (da parte del provider) nel medesimo illecito: precisamente, all'iniziale comportamento commissivo del solo utente, segue quello omissivo da parte del provider . Scrivo "segue" perché, pur essendo il provider di fatto presente sin dall'inizio, tuttavia, in linea di massima (ma si vedrà poi qualche precisazione sul punto) nulla gli può essere inizialmente addebitato: egli infatti non ha responsabilità di controllo sui contenuti del tipo della responsabilità editoriale (artt.57 e 57 bis c. pen. e art. 11 legge 08.02.1948 n,. 47) , come era stato invece deciso nei primi interventi giurisprudenziali . Non potendoglisi quindi addebitare una violazione ab initio, gli si può però addebitare una violazione successiva, quando, pur potendo e dovendo, non ha rimosso i materiali illeciti (un'omissione, come si diceva).
Bisogna allora capire quale sia il momento, in cui sorge questo dovere di rimozione. Fino ad allora, come detto, nulla gli può essere addebitato, sicchè l'illecito è ancora monosoggettivo. Dopo quel momento, invece, l'illecito diventa plurisoggettivo, anche se con due modalità diverse: una commissiva (la prima nel tempo, dell'utente), l'altra omissiva (quella successiva, del provider). La fattispecie plurisoggettiva sarà governata dall'articolo 2055 c.c. sia perché altre norme non ci sono, sia perché qualunque violazione, se concorre causalmente a produrre il medesimo evento di danno, rientra nell'ambito applicativo della norma stessa .
Nel diritto d'autore, accenna a questa fattispecie di responsabilità l'Avvocato Generale (di seguito: AG) Szpunar in Ziggo v. The Pirate Bay (TPB), secondo cui quest'ultima piattaforma (gestore di rete peer-to-peer) realizza una comunicazione al pubblico dal momento, in cui viene a sapere dell'illiceità dei file la cui condivisione essa agevola . L'AG precisa poi che, se invece si ritiene assente la responsabilità primaria di TPB, il giudizio su una eventuale responsabilità secondaria (o indiretta) è di competenza degli ordinamenti statali, non essendo stata armonizzata . L'opinione è di dubbia esattezza, dato che la dir. 2001/29, invocata dall'AG per la sua prevalenza sulla dir. 2004/48 , parla genericamente di "violazioni" (art. 7 e art. 8): concetto la cui ricostruzione dunque può comprendere anche il profilo soggettivo e che spetterà alla C.G. A meno di distinguere tra una responsabilità primaria e una secondaria (meramente agevolativa), in tal modo escludendo la seconda dall'armonizzazione europea: solo che quest'ultima verrebbe gravemente pregiudicata se ogni questione sull'agevolazione (responsabilità secondaria o indiretta) fosse liberamente regolabile dai singoli Stati (per non dire dell'incertezza che regnerebbe sulla stessa distinzione tra responsabilità primaria e secondaria, diversamente disciplinata negli Stati UE) .
Ciò pare anzi confermato dal § 3 dell'art. 8 dir. 2001/29, invocato dal cit. § 56 delle Conclusioni dell'AG: che impone agli Stati di prevedere un'inibitoria contro gli "intermediari", i cui servizi sono utilizzati per la violazione. Da un lato, tale disposizione non necessariamente porta a contrapporre autori della violazione ad intermediari e cioè non impedisce di ritenere che i secondi possano rientrare tra i primi; dall'altro lato, anche ritenendo il contrario, il concetto di "intermediario", facendo parte del diritto UE, va interpretato dalla C.G. (è di portata così ampia che può anche comprendere TPB). La complessità del tema, però, merita specifico esame, qui non possibile.
Un profilo importante, a proposito dell'articolo 2055, è quello soggettivo, nel senso che non è chiaro se sia o meno richiesta anche la consapevolezza di compartecipare alla produzione di un danno ingiusto. Si potrebbe rispondere di si, dato che in generale ognuno deve rispondere di ciò che sa o poteva sapere, non di ciò che non poteva sapere: se il concorso ex art. 2055 costituisce un aggravio rispetto alla scelta della responsabilità (parziaria) monosoggettiva , il concorrente deve poter sapere del rischio di concorso (cioè di essere concorrente). Sembrano però più persuasive le ragioni addotte da chi nega che questo elemento soggettivo sia richiesto : ma il punto qui non è importante, dato che il provider, da quando sorge il suo dovere di attivarsi, sa per definizione della condotta del suo utente (se si accetta questo punto fermo; e d'altro canto pure l'utente per definizione sa di poter divulgare il suo post solo tramite la piattaforma).
La dottrina predetta ha evidenziato che, sia dal tenore letterale sia dalle interpretazioni fino ad oggi succedutesi, l'articolo 2055 è stato tradizionalmente studiato ed applicato a condotte contestuali; tuttavia l'a. ritiene di estenderne l'ambito applicativo anche al caso nostro, in cui la condotta imputabile di un soggetto è successiva a quella dell'altro . In effetti la norma dice semplicemente di «fatto dannoso imputabile a più persone»: la sua formulazione è dunque così lata, da permettere il concorso eventuale sopraggiunto.
Naturalmente, precisa questa dottrina, l'eventuale responsabilità solidale del provider è limitata alle conseguenze risarcitorie, derivate dalle condotte tenute dopo la violazione a lui imputabile: e cioè -lo ripeto- dopo il momento, in cui è sorto il dovere di rimozione. Non può estendersi, invece, a quelle derivate dalla condotta anteriore, le quali graveranno solamente sull'utente. E' vero che anche in queste ultime c'è il fatto materiale del provider, dato che per definizione il suo servizio è proprio lo strumento utilizzato per la violazione: tuttavia, fino a che non sorge il dovere di rimozione, il provider non è soggetto ad alcun dovere e la responsabilità è allora monosoggettiva, id est in capo al solo utente. Il che presenta due interessanti profili: i) nei rapporti interni si applicherà conseguentemente l'art. 2055 c. 2-3, secondo cui «colui che ha risarcito il danno ha regresso contro ciascuno degli altri, nella misura determinata dalla gravità della rispettiva colpa e dall'entità delle conseguenze che ne sono derivate. Nel dubbio, le singole colpe si presumono uguali»: e sarebbe interessante ragionare sul punto; ii) toccherà al soggetto leso individuare la porzione di danno imputabile alle due fasi dell'illecito (monosoggettivo/plurisoggettivo), dato che la questa distinzione ha rilevanza esterna. Se la si ritenesse invece rilevante solo internamente -cioè in sede di regresso-, allora l'illecito sarebbe ab initio plurisoggettivo: ma questo contraddirebbe il punto di partenza, in base al quale al provider non si può addebitare nulla prima del momento in cui sorge il suo dovere di rimozione/disabilitazione.
L'operazione di imputazione delle due porzioni di danno potrebbe sembrare difficile, ma non è detto che sarebbe poi così: già oggi le liquidazioni tengono conto della durata dell'esposizione on line del materiale illecito. Si tratterà quindi solamente di aggiungere al calcolo il primo periodo cioè quello dell'illecito a struttura monosoggettiva, sempre che si agisca pure verso l'utente (eventualità più che rara, a quanto consta): altrimenti si terrà conto solo dell'esposizione a partire dalla presa di consapevolezza in capo al provider (in pratica: dal suo ricevimento di comunicazione/diffida da parte del soggetto leso).
3. Responsabilità contrattuale o aquiliana?
Negli scritti in materia si dà per scontato che, oltre a quella dell'utente, anche la condotta del provider (nella ricordata modalità omissiva) costituisca una violazione del neminem laedere e quindi censurabile ai sensi del 2043 cc, in combinato disposto con le norme che pongono i diritti violati. Il punto merita un approfondimento. Se la responsabilità aquiliana consegue ad una condotta violatrice di interessi protetti in assenza di una previa relazione tra le parti, mentre quella contrattuale sorge dall'inadempimento di un dovere che legava creditore e debitore, la conclusione -tralaticia-, per cui nel caso de quo ricorre responsabilità aquiliana, è da verificare. Ed anzi si può arrivare ad una conclusione parzialmente opposta.
Il ragionamento potrebbe svilupparsi così. La condotta del provider è una condotta omissiva, nel senso che gli si addebita di non aver rimosso o disabilitato (di seguito per brevità scriverò di "rimozione/disabilitazione" per indicare le due possibilità di intervento da parte del provider indicate dalla legge ). In generale, l'obbligo violato, fonte di responsabilità contrattuale, può avere fonte pattizia o legale (l'espressione responsabilità contrattuale è una sineddoche) , nel senso che l'inadempimento in entrambi i casi è governato dagli articoli 1218 e seguenti. Quindi la distinzione si basa sulla ravvisabilità o meno di un previo rapporto tra le parti, tale per cui la condotta censurata costituisca inadempimento ad un obbligo da esso sorto .
Nel caso specifico, come detto, si parte dal presupposto per cui, fino a quando il provider non sa della violazione, nulla gli può essere addebitato; da quando sa della violazione, invece, sorge a suo carico l'obbligo di rimozione . Ne segue che, quando questo sorge, la sua violazione diventa appunto violazione di tale obbligo: il quale mira ad evitare lesioni della sfera di un soggetto ben determinato (il soggetto leso, normalmente autore della diffida). In altre parole, in assenza di un obbligo generale di sorveglianza, il dovere di rimuovere sorge solo quando gli venga segnalata una violazione specifica: violazione cioè di una situazione giuridica soggettiva protetta in capo ad un soggetto determinato . Il dovere di rimuovere, dunque, non è più una cautela a favore della collettività, come sarebbe se gravasse sul provider un dovere generale di sorveglianza (in sostanza, sarebbe allora vicina alla responsabilità editoriale): è invece un dovere che mira a tutelare specificamente la posizione del soggetto leso, la lesione della cui sfera gli è stata notificata. Questo dovere crea dunque una relazione ben individuata tra provider e soggetto leso, relazione che mira alla tutela di quest'ultimo. Ne segue che l'omissione di rimozione costituisce violazione del dovere a carico del provider e a favore del soggetto leso: quest'ultimo diventa creditore della prestazione di rimozione/disabilitazione. Più che di dovere (soggettivamente) generico, allora, è esatto parlare di obbligo (soggettivamente) specifico .
In senso contrario potrebbe dirsi che le disposizioni normative (d. lgs. 70/2003 e dir. 2000/31) non pongono un obbligo ma un onere: come si dirà poco sotto, infatti, si limitano a dire che il provider non può essere tenuto responsabile se non sa o, qualora sappia, se procede subito a rimozione/disabilitazione. Il che pare costituire un onere per la fruizione del safe harbour. Non si dice infatti -in positivo- che il provider, quando sa, deve procedere a rimozione/disabilitazione; si dice invece che così deve fare, se vuole fruire dell'irresponsabilità. Potrebbe dunque dirsi che la legge resta muta sui doveri (generici -responsabilità aquiliana- o specifici -responsabilità contrattuale-) del provider, anche dopo esser stato notiziato dell'illecito: potrebbe dirsi cioè (fermo restando che, se non rimuove/disabilita, perde il safe harbour) che egli tuttavia non avrebbe un obbligo in senso tecnico di agire in tale senso.
Tuttavia il dovere di solidarietà, che innerva tutti i rapporti sociali, porta ad una conclusione diversa. Visto che dipende da lui e solo da lui la protrazione della condotta illecita (e la produzione di eventuali danni ulteriori al soggetto leso), il provider deve attivarsi per farla cessare. La diligenza professionale -che gemma da tale solidarietà- implica che nello svolgimento della propria attività il professionista si sforzi di non causare danno ai terzi con cui viene a contatto.
A ciò induce pure la considerazione complessiva delle disposizioni de quibus. Queste, pur mirando ad alleggerire e chiarire gli obblighi dei provider, hanno ritenuto di negare il safe harbour quando egli, pur sapendo di uno specifico fatto lesivo, non abbia rimosso o disabilitato. Se ne deduce che questa omissione è ritenuta grave dall'ordinamento: per cui è incongruo ravvisare solamente l'effetto della perdita del safe harbour e non anche l'illiceità (e la conseguente soggezione ai pertinenti rimedi). Che le disposizioni europee si siano limitate a porre una disciplina in negativo (safe harbour) deriva probabilmente dalle rilevanti difficoltà di conciliare ordinamenti diversi su un tema complesso come la responsabilità civile, seppur solo per l'attività degli ISP: optandosi quindi per un'armonizzazione più limitata, consistente nella perimetrazione appunto di un'esimente e cioè di un'area sicura per gli operatori del settore .
In breve, che un dovere di agire nel senso della rimozione/disabilitazione vi sia, non dovrebbe essere dubbio, quantomeno come dovere di cautela generica ex art. 2043. La condotta del provider infatti per definizione corre -sotto il profilo materiale- con quella dell'utente nel produrre il fatto dannoso (art. 2055): per cui l'omessa rimozione/disabilitazione, dopo l'avviso, costituisce negligenza. Il problema è piuttosto come costruire questo dovere e cioè se erga omnes oppure solo verso il soggetto leso. Se fosse giusta la seconda ipotesi, dovremmo optare per la responsabilità contrattuale: sarebbe incongruo rimanere nell'ambito aquiliano, quando il comportamento da tenere è già orientato verso la tutela di una ben precisa sfera individuale .
In altre parole, ritenere che il dovere rimanga tra quelli generici, propri della responsabilità aquiliana, non soddisfa. Il provider, quando è avvisato del file illecito presente sui suoi server, non può più ritenersi gravato verso il soggetto leso dallo stesso dovere di neminem laedere, che ha verso il resto della collettività (o meglio verso il resto delle persone, i cui dati sono trattati nei file da lui ospitati). Il suo rapporto con la sfera del soggetto leso è assai diverso da quello che ha con questi ultimi, dato che il primo infatti si staglia nettamente nella folla indistinta dei secondi. Il dovere di rimozione/disabilitazione allora si precisa e concretizza a favore di uno soggetto determinato, di cui il provider viene a conoscere -combinando l'esame della diffida con quello del file illecito - nome, cognome, situazione giuridica lesa, modalità lesiva e magari altri dati ancora (posizione giuridica, posizione sociale...). Il contatto tra il primo e il secondo è dunque ben più consistente di quello tipicamente aquiliano: il quale può forse consistere anche in qualcosa di più della "responsabilità del passante", ma non arrivare al punto da comprendere quello in cui l'autore della condotta dannosa può fare quella valutazione personalizzata (non generica, come quella ipotizzabile in astratto erga omnes) della sfera altrui, coinvolta dal suo agire commissivo od omissivo, che sta alla base della diversa disciplina contrattuale rispetto a quella aquiliana. Si pensi al mancato richiamo nell'art. 2056 dell'art. 1225, che limita il danno a quello prevedibile al momento del sorgere dell'obbligazione: è ingiusto infatti gravare il debitore di ciò che, secondo un criterio di normalità, non poteva prevedere , dovendosi rispettare solo il programma contrattuale o lo scenario che le parti si erano prospettate esplicitamente o implicitamente quando fecero sorgere l'obbligo . Criterio che non vale per l'illecito aquiliano, in cui non ricorre alcun impegno determinato e dunque alcuna normalità prevedibile . Se così è, il provider, quando viene notiziato e intimato di procedere a rimozione/disabilitazione perché un file da lui ospitato viola un certo diritto in capo ad un soggetto determinato, può fare il calcolo di costi e benefici delle alternative del suo agire: il suo dovere di rimuovere/disabilitare è a favore di un soggetto preciso, non della indistinta massa dei cives. Ricorre insomma quel "rischio specifico" che permette di ricondurre il contatto de quo alla responsabilità contrattuale, invece che a quella aquiliana . Quest'ultima è caratterizzata dall'assenza di obblighi verso persone determinate, sicchè chi non è da essi vincolato è libero, fino a quando leda il diritto altrui (tranne l'inibitoria): lesione che determina il sorgere dell'obbligazione (risarcitoria) . Ebbene, stona riconoscere questa libertà al provider, dopo che è stato notiziato della lesione arrecata da file presenti sul suo server.
C'è una differenza rispetto ai casi consueti di obbligazione senza prestazione, sorta da contatto sociale. In questi infatti il contatto è allacciato dalla parte poi lesa, la quale legittimamente "si affida" all'altro; nel caso nostro, invece, l'affidamento non sorge da previo contatto, allacciato dal soggetto leso, ma è creato dalla legge e cioè dal dovere di solidarietà costituzionale gravante su chi, pur non essendo l'originario uploader, può tuttavia bloccare senza fatica la permanenza dell'illiceità. Inoltre nel caso de quo la condotta dovuta, che soddisfa l'affidamento, consiste non nell'informare ma nel rimuovere. L'ordinamento non resta impassibile di fronte alla situazione, in cui il rischio di danno sorge dall'attività di un preciso soggetto (internet provider), il quale quindi può governarlo ed anzi azzerarlo: l'art. 2 Cost. gli impone allora quel minimo comportamento collaborativo, che, se a volte può consistere in un mero dovere di informazione , nel nostro caso consiste nella rimozione/disabilitazione.
Potrebbe dirsi in senso contrario che, per costruire un dovere di attivarsi, servisse una norma specifica e/o espressa: la quale, in altre parole, sarebbe necessaria per ritenere illeciti i contegni omissivi. Ciò soprattutto a tutela della libertà personale, che potrebbe essere pericolosamente ridotta dalla ravvisabilità di doveri di azione impliciti, invece che espliciti: questa è la ragione per cui -secondo l'art. 23 Cost.- "nessuna prestazione personale o patrimoniale può essere imposta se non in base alla legge". Quella addossata al provider sarebbe appunto una prestazione personale.
Il punto è delicato, essendo la libertà bene preziosissimo: pare però che il garantismo liberal-ottocentesco possa essere in certi casi superato. L'art. 1173 c.c, ad es., non si riferisce più alla "legge" ma al più ampio concetto di "ordinamento giuridico", nel quale rientrano oggi anche i principi costituzionali, tra cui quello di solidarietà e di rispetto di sicurezza, libertà e dignità umana . Da questi può farsi sorgere un dovere di azione in casi come quello de quo, poiché attendere la lesione dannosa, per potersi difendere, pare difforme dai principi medesimi. Il danno da attesa per il soggetto leso può essere molto rilevante, mentre è minimo per l'internet provider quello del doversi attivare (anche perché può cautelarsi redigendo opportuni moduli, quando allaccia rapporti contrattuali con i suoi utenti): per questo il bilanciamento è a favore del soggetto leso. Non si tratta qui tanto di bilanciamento tra due sfere toccantesi, per vedere se il danno cagionato da una verso l'altra sia ingiusto; si tratta di bilanciarle per vedere se ex ante -cioè prima che un danno sorga o si estenda- possa ravvisarsi un'obbligo di attivarsi per evitare il danno (o il suo incremento), altrimenti assai probabile e spesso (diffamazione) di fatto non più eliminabile né ristorabile.
Ci sono del resto diverse norme che interessano il discorso che si va conducendo, che richiederebbero esame analitico, qui non possibile. Mi limito qui ad elencarne alcune:
1) dovere di prestare assistenza o avvisare l'autorità, penalmente sanzionato dal reato di omissione di soccorso, art. 593 c. 1-2 c. pen.;
2) potere di Consob di ordinare l'oscuramento telematico di chi «offre o svolge servizi o attività di investimento senza esservi abilitato» (art. 36 c. 2 terdecies d.l. d. l. 34 del 30.04.2019 (conv. da legge n. 58 del 28 giugno 2019).
3) potere del Ministero Finanza-Monopoli si Stato di ordinare l'oscuramento (in modalità lasciate a decreti successivi) in caso di attività di gioco on line non autorizzate (art. 1 c. 50-50 quater, L. 27-.12-2006 n. 296, finanziaria 2007)
4) potere dell'autorità giudiziaria procedente di ordinare l'oscuramento di siti internet in tema di terrorismo internazionale (art. 2 c. 3-4 d.l. 18.02.2015 n. 7 conv. da L. 17.04.2015 n. 43).
5) diritto di chiedere l'oscuramento in caso di cyberbullismo con seguente possibilità -in casi di omissione- di adire il Garante privacy (art. 2 l. 71 del 29.05.2017) .
6) qualificazione imperativa di illiceità nella condotta del provider del mero conservare file illeciti, caricati dagli utenti, sui propri server contenute nell'art.17 della dir. copyright 2019/790: è stabilito di imperio che ciò costituisce comunicazione al pubblico (a meno che riesca a liberarsi provando l'esistenza dei requisiti del § 4) (su ciò v. l'ultimo paragrafo)..
I casi da 2-3-4 pongono doveri pubblicistici, a tutela preventiva della collettività indistinta, per cui non ci interessano direttamente. I casi 1 e 5 invece pongono doveri a protezione di soggetti determinati. Se il caso sub 1 è dubbio fuoriesca dalla responsabilità aquiliana, il caso sub 5 invece dovrebbe rientrare in quella contrattuale: il dovere di provvedere, la cui omissione permette i poteri sostitutivi del Garante, riguardando un dovere giuridico verso un soggetto determinato e non verso la collettività indistinta, è del tutto analogo al nostro caso : gli si può infatti applicare il ragionamento di cui sopra, che fa propendere per una responsabilità contrattuale. Circa il caso sub 5, però, può sorgere il dubbio che non vi sia un obbligo in senso tecnico in capo al provider, data l'equivoca formulazione e l'assenza apparente di sanzioni per il caso di inottemperanza: la disciplina potrebbe far pensare ad una mera condizione di procedibilità, per chiedere poi al Garante l'esercizio dei poteri di intervento. Se la ragione è quella di economia procedurale, e cioè di tentare le vie brevi prima di mettere in moto il procedimento amministrativo presso il Garante, pare ugualmente incongruo rimettere alla potestatività mera del provider la scelta del se accogliere o meno l'istanza. Parrebbe dunque sensato ravvisare un obbligo .
Pecca dunque di precisione un provvedimento di merito del 2015, pur interessante per i riferimenti tecnici alle possibilità di filtraggio e per alcuni condivisibili affermazioni ad esso legate: «Non pare inopportuno, poi, rammentare che la relazione che lega il titolare del diritto di proprietà intellettuale violato e il fornitore di servizi della società dell'informazione, non vincolati fra loro da alcun rapporto contrattuale, va collocata sul piano extracontrattuale e pare opportunamente catalogabile in termini di relazione da "contatto sociale", chiamando così i soggetti interessati a comportarsi secondo correttezza e buona fede, in prospettiva solidaristica, con la consapevolezza del carattere funzionale dei diritti riconosciuti dall'ordinamento (cfr. art.2 Cost.) che limita intrinsecamente il loro agire alla luce del dovere generale di protezione dei diritti altrui. (..) Nella gestione del contatto sociale le parti sono chiamate a interagire, in prospettiva solidaristica, e quindi proteggendo gli interessi altrui, ove ciò sia possibile senza consistente pregiudizio dei propri, rifuggendo da declinazioni emulative dei propri diritti e garanzie che l'ordinamento riconosce loro in un'ottica funzionale e sociale» . Parlare di responsabilità da contatto sociale come applicazione di responsabilità aquiliana è sorprendente, anche se ha qualche antecedente giurisprudenziale . La teoria del contatto sociale, infatti, consiste proprio nel portare una fattispecie di per sé aquiliana -per assenza di titolo contrattuale- in ambito contrattuale: ciò a causa del legame particolare e stretto, fonte di affidamento, tra il soggetto leso e l'autore della lesione , ovvero per la particolare prossimità del soggetto leso con l'ambito esecutivo di una prestazione, che l'autore della lesione stava rendendo ad un creditore terzo , prossimità che deve essere intenzionale . Ebbene, un tale atteggiamento psichico è assente nel rapporto de quo: non esiste alcun volontario affidamento, né alcuna voluta prossimità intenzionale del soggetto leso verso la piattaforma. A parte ciò, secondo quanto appena osservato, il provider viola un obbligo già sorto verso un soggetto determinato, il quale diviene creditore della prestazione di rimozione/disabilitazione: non potendosi, dunque, parlare più di responsabilità aquiliana bensì di obbligazione ex lege.
E' dubbio che sia esatto ricorrere alla categoria della responsabilità (contrattuale) da contatto sociale anche perché questa di solito concerne casi, in cui il terzo è esposto a pericoli di danno uguali a quello di uno dei contraenti: qui invece l'utente utilizza i servizi del provider proprio ed unicamente per violare la sfera del soggetto leso. Quindi non ricorre l'esigenza di estendere la (più soddisfacente) tutela ex contractu, spettante al contraente, ad un soggetto terzo, che -per le circostanze del caso- si trova esposto al medesimo tipo di rischio di danno cui è esposto il contraente stesso. Pur tuttavia, come sopra, detto può ravvisarsi un obbligo in senso tecnico di rimozione/disabilitazione a carico del provider.
In quanto responsabilità contrattuale, si applicheranno le regole di cui all' articolo 1218 e seguenti, che in parte differiscono da quelle aquiliana. Le principali differenze, scolasticamente ripetute, riguardano: i) limitazione della responsabilità contrattuale ai danni prevedibili, tranne che ricorra dolo, art. 1225, non richiamato dagli artt. 2043 ss; ii) il termine prescrizionale, decennale per la responsabilità civile e quinquennale per la responsabilità aquiliana, art. 2947 cc; iii) la messa in mora, non necessaria quando si tratta di fatto illecito, art. 1219 c. 2 cc. La differenza non riguarda invece il giudizio di colpa/negligenza, la quale è sempre costituito dalla violazione della normale diligenza .
Circa l'art. 1225 va però segnalato che la regola del risarcimento limitato ai danni prevedibili non opera, se si segue la tesi per cui il provider, qualora non provveda a rimozione/disabilitazione una volta notiziato, è da ritenersi in dolo . La tesi, ad una prima riflessione, non pare persuasiva, se si accetta che il concetto di dolo civilistico si modella su quello penalistico. Nell'art. 43 c.1. c.p., da un lato, «la qualificazione dolosa del reato rimanda espressamente all'intenzione e i poli costitutivi della responsabilità dolosa sono dati dalla previsione e dalla volizione dell'evento. Atteso che la previsione di quest'ultimo è compatibile anche con la responsabilità colposa (nella forma cosciente), la volizione dell'evento rappresenta la vera cifra identificativa del dolo» ; dall'altro, il giudizio non cambia in relazione ai reati omissivi, propri o impropri . L'evento, nel caso di domanda risarcitoria, è il danno-conseguenza (ma nulla cambierebbe riferendoci al danno-evento): per cui è ben difficile sostenere che il provider abbia voluto arrecare danno al soggetto leso . Ciò vale, a meno di ravvisare la figura del dolo eventuale, che ricorre quando, pur non volendo l'evento, tuttavia si continua ad agire accettandone il rischio: in tale ipotesi effettivamente si potrebbe sostenere che proprio questa è la fattispecie che ricorre quando il provider, pur notiziato, non rimuova e/o disabiliti. Ad es. potrebbe dirsi che l'inadeguata organizzazione del provider, con una scadente catena informativa (tra addetti al ricevimento comunicazioni esterne e decisori), tale da portare all'omissione, costituisse inefficienza tollerata proprio per non subire incrementi di costi: in tale caso sarebbe difficile disconoscere il dolo eventuale. Come del resto ed in generale può dirsi per tutti i casi in cui si omette la rimozione/disabilitazione, per trarre un eventuale maggior lucro dalla permanenza del file contestato come lesivo o perché il soggetto leso è più "potente" e/o rinomato dello sconosciuto uploader.
Questo naturalmente non impedisce che il concorso sia regolato dall'articolo 2055, dal momento che -come detto- la disposizione regola il concorso di qualunque condotta, a prescindere dalla sua qualificazione in termini aquiliani o contrattuali, come viene comunemente ammesso.
4. L'ambito soggettivo di applicazione
La normativa specificamente dedicata a questo argomento è stata oggetto di armonizzazione europea ad opera della nota direttiva 31 dell'8 giugno 2000, recepita da noi con il decreto legislativo 70 del 9 aprile 2003 (di seguito: dir. 2000/31).
la disciplina sul punto specifico è posta dagli articoli 14-17 del d. lgs. cit.. Negli articoli 14-16 sono regolate tre figure di internet provider, mentre l'articolo 17 pone il divieto di assoggettare il provider ad un obbligo generale di sorveglianza (oltre ad altri precetti). Quest'ultimo divieto concerne tutte e tre le figure predette e si applica a prescindere dal fatto che beneficino o meno dell'esenzione di cui agli artt. 14-16 : basta che il tipo di attività svolta -quella considerata volta per volta, potendo egli svolgere più tipi di attività contestualmente- rientri nei concetti di access-mere conduit/caching/hosting. La Corte di Giustizia (di qui in poi: C.G.) ha precisato che un dovere di monitoraggio generale contrasterebbe pure con l'art. 3.1 della dir. 2004/48 (misure leali ed eque) : il che allora lo estende a tutta la proprietà intellettuale (o quella regolata dalla dir. cit.), on line oppure offline , come sostanzialmente riaffermato poi in Tommy Hilfiger+5 c. Delta Center .
L'ambito soggettivo di applicazione degli artt. 14-17 è quello dei prestatori di un "servizio della società dell'informazione", che trova una definizione nell'art. 2 c. 1 lett. a): «"servizi della società dell'informazione": le attività economiche svolte in linea -on line-, nonché' i servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e successive modificazioni;» . La definizione della dir. 31/2000 (art. 2 lett. a), invece, avviene tramite rimando alla dir. 98/34 (modificata dalla dir. 98/48), il cui art. 1 punto 2 recita: « «servizio»: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si intende: «a distanza»: un servizio fornito senza la presenza simultanea delle parti; «per via elettronica»: un servizio inviato all'origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici; «a richiesta individuale di un destinatario di servizi »: un servizio fornito mediante trasmissione di dati su richiesta individuale». Il nostro requisito dell'«economicità» dell'attività voleva probabilmente recepire quello europeo della "prestazione normalmente dietro retribuzione" (il cons. 18 dir. 31/2000 parla di "attività economiche", anche se è da vedere la corrispondenza con l'uguale concetto interno). "Economicità" potrebbe -in prima battuta- interpretarsi come la teoria dell'imprenditore interpreta il riferimento all'attività economica, presente nell'art. 2082 cc e cioè nel senso per cui non è necessario il fine di profitto, bastando il programmato pareggio dei costi (c.d. metodo economico): non potendosi ravvisare economicità -in breve-, se si deve programmaticamente (cioè ex ante) ricorrere a sovvenzioni esterne per garantire la sostenibilità dell'attività . Potrebbe però osservarsi che tale impostazione "nazionale" rischia di essere diversa dalla norma europea, la quale non solo non menziona il termine "impresa" , ma palesemente si disinteressa dell'adozione o meno (ex ante) del metodo economico: secondo la dir., infatti, basta che si tratti di un servizio, che la politica aziendale vuole "normalmente" retribuito, a prescindere dal suo ammontare e cioè dalla sua idoneità (ex ante, prospetticamente) a coprire quanto meno i costi. Pertanto il recepimento restringerebbe il concetto di "servizi della società dell'informazione" rispetto alla disposizione europea (richiedendo il metodo economico, che la dir. non prevede) e perciò ne restringerebbe l'ambito applicativo: con qualche problema di (in-)esatta attuazione nazionale. A parte ciò , il recepimento pare corretto (anche se qualche osservazione critica non sarebbe difficile da immaginare), tranne che per l'omesso riferimento all'avverbio "normalmente". Questo permette di includere nell'ambito applicativo della dir. anche i servizi che "talora" (cioè "non di norma") son forniti gratuitamente, rectius liberalmente : possibilità che forse esiste anche nel recepimento nazionale, dato che possono pure essi venire compresi nel metodo economico, il quale appunto, non mirando al profitto, può fare varie scelte di business e cioè compensare operazioni profit con operazioni non profit , anziché solamente fissare ex ante una volta per tutte prezzi (sperabilmente) profittevoli.
Sia nel testo europeo che in quello italiano manca il riferimento a due elementi della definizione codicistica dell'imprenditore ex art. 2081: la professionalità e l'organizzazione, solitamente intesi il primo come sinonimo di abitualità o non sporadicità e il secondo come necessità di un minimo di eteroorganizazione (l'attività del titolare non può essere l'unico elemento) . Si deve prendere atto che non sono necessari: quello che conta è che l'interprete riesca a ravvisare la prestazione di un'attività economica o (secondo la disposizione europea) di un servizio, fermi gli altri requisiti della fattispecie .
5. Si tratta di disciplina in negativo (esenzione da responsabilità), non affermativa di responsabilità
Le tre figure di provider sono regolate non in positivo, bensì in negativo. Non si dice infatti quando sono responsabili, bensì si delimita un'area, in cui non possono essere ritenuti responsabili: area costituita dal rispetto delle condizioni ivi fissate . La formulazione sia del testo italiano sia della direttiva è univoco in questo senso, laddove così recita: "Nella prestazione del servizio il prestatore non è responsabile delle informazioni trasmesse/della memorizzazione/delle informazioni memorizzate.. a condizione che:.." (così l'incipit degli art. 14-16 e analogamente nella dir.). Pertanto, una volta esclusa l'applicabilità delle esimenti specifiche, non è detto che il provider diventi automaticamente responsabile o -meglio- che abbia agito in violazione (la responsabilità sorge solo in presenza di danni provati e causalmente ricollegabili): la sua posizione, infatti, andrà scrutinata in base alla disciplina comune, la quale potrebbe -ad es. e almeno in linea teorica- permettere di invocare qualche esimente generica (adempimento di dovere, stato di necessità, consenso dell'avente diritto etc.) .
Su questo profilo sorvola certa giurisprudenza, ad es. quando, con poca precisione, dopo aver rilevato che il d. lgs. 70/2003, pur se non applicabile a Wikipedia perché stabilita in paese non appartenente allo S.E.E. (art.1 c.2 lett. d) , tuttavia contiene "le necessarie direttrici giuridiche di riferimento per l'inquadramento della fattispecie. Analogamente e conformemente pertanto a quanto previsto negli artt. 16 e 17 del D. L.vo 70/2003 e sulla base dell'elaborazione giurisprudenziale formatasi sul tema ( ), la responsabilità dell'Internet Service Provider deve ritenersi sussistente per le informazioni oggetto di hosting (memorizzazione durevole) soltanto allorquando il provider sia effettivamente venuto a conoscenza del fatto che l'informazione è illecita e non si sia attivato per impedire l'ulteriore diffusione della stessa e ciò in assenza di un generale obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite, né potendo ritenersi integrata alcuna posizione di garanzia, in assenza di norme che radichino la responsabilità oggettiva o di posizione del provider o l'esistenza in capo allo stesso di un obbligo di controllo" . La sentenza dunque da un lato estende per analogia la regola di matrice europea ad un provider, che non vi è soggetto, e dall'altro fa dir loro più di quel che in realtà dicono. Infatti fa intendere che il requisito (assenza di conoscenza o pronta rimozione), che nella prima è posto in positivo e cioè per fruire del safe harbour, viene qui usato in negativo e cioè per ravvisare l'illecito, nel senso che, quando non ricorre (perché il provider sa e non agisce), questi sarà per ciò solo responsabile.
La natura di norme, che si limitano ad escludere l'illiceità, come si è accennato, vale in teoria. In pratica, sarà improbabile che la non fruibilità del safe harbour porti ad un giudizio di liceità della condotta del provider: le condotte menzionate per il safe harbour, infatti, costituiscono -in generale - anche concretizzazione di diligenza, per cui non adottarle costituirà spesso negligenza . Altra dottrina concorda sul punto .
6. Le tre figure tipizzate e il problema della pretesa passività del provider
Le figure considerate sono quelle: i) del provider che svolge attività di semplice trasporto (o di fornitura di accesso alla rete), ii) del provider che svolge un'attività di memorizzazione solo temporanea; iii) del provider che svolge un'attività di memorizzazione permanente, cosiddetto hosting provider.
In generale -nel senso che il principio vale per qualunque tipo di provider- l'esimente (deroghe alla responsabilità) opera quando il ruolo del provider è solo "tecnico automatico e passivo" (cons. 42 dir. 31/2000): così almeno si legge spesso. Vale la pena di soffermarvisi, dato che tocca una delle questioni più dibattute nelle aule giudiziarie: e del resto è solo qui che la dir. adopera l'aggettivo "passivo", cui viene poi data grande importanza da parte della giurisprudenza e dottrina italiana , per riassumere le caratteristiche dei provider necessarie per fruire delle esimenti.
Ebbene secondo il cons. 42), «le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l'attività di prestatore di servizi della società dell'informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate.». La "disposizione" (se può parlarsi di disposizione per un precetto che figura solo in un considerando) è comprensibile: nel triplice conflitto di interessi considerato dal legislatore (diritto di espressione, di informazione e di essere informati; diritto di impresa del provider; diritto all'onore o di IP, incluso il right of publicity , di chi può venir leso dalla attività on line altrui) , l'esenzione da responsabilità per questa industria -a quel tempo allo stato quasi nascente - ha senso solo se i provider non influiscono sui contenuti e si limitano a fornire un servizio tecnico. Incredibilmente l'indagine, condotta dall'US Copyright Office sull'applicazione del § 512 DMCA e conclusasi nel maggio 2020, considera solo gli ultimi due interessi e dimentica il primo (quello della collettività ad esprimersi e ad essere informata) .
Questa precisazione è spesso utilizzata per escludere il safe harbor per quegli hosting providers, i quali svolgono attività, che i giudici ritengono eccedere quella di ruolo automatico e passivo: in particolare perché indicizzano, organizzano e promuovono i materiali caricati dagli utenti proponendoli ad altri navigatori allo scopo di trarre profitto , soprattutto in tema di violazioni di diritto d'autore . Se però si legge con attenzione il cons. 42, la plausibilità dell'esposto ragionamento appare non poco incerta. E' vero che il suo incipit sembra riguardare tutte le esenzioni poste dalla direttiva e cioè tutti e tre i tipi di internet provider. Successivamente, però, il primo periodo del cons. si riferisce solo all'access-mere conduit e al caching, mentre non vi rientra l'hosting provider . L'espressione «processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione», infatti, è difficilmente -molto difficilmente- riferibile alla memorizzazione duratura, tipica dell'hosting provider. Del resto l'incipit del cons. 42 afferma senza mezzi termini che è «esclusivamente» in tali casi che i provider possono fruire del safe harbor posto della direttiva stessa: per cui l'hosting, sotto un profilo letterale, sarebbe escluso dal safe harbour. Inoltre il secondo periodo, contenente la famosa espressione "Siffatta attività è di ordine meramente tecnico, automatico e passivo", si riferisce appunto a "siffatta attività" e cioè a quella indicata nel primo periodo, il quale, come appena detto, non include l'hosting provider. In breve, il cons. 42 si riferisce ad access-mere conduit e a caching provider, non all'hosting provider .
Tuttavia poi l'articolato prevede all'articolo 14 appunto la figura dell'hosting provider: sembra quasi che quest'ultima tipologia sia stata aggiunta in un momento successivo, rispetto ad una prima redazione che non l'includeva, senza aggiornare il considerando .
In altre parole il cons. 42 dice cose assai diverse da quelle dette in parte qua dall'art. 14: non può dunque ravvisarsi nel primo una mera precisazione o esemplificazione della regola posta dal secondo. Il cons. 42 non può dunque riferirsi all'art. 14, dato che altrimenti le regole previste nel primo avrebbero dovuto essere riprodotte in qualche modo (anche se non negli stessi esatti termini, ma in modo inequivoco) nel secondo. In un caso come questo può insomma operare il brocardo ubi lex voluit dixit, ubi noluit tacuit: è infatti secondo ragione pretendere che una così importante regola, come quella dei requisiti menzionati dal cons. 42, sia presente anche nell'articolato, senza essere lasciata nel limbo dei considerando. Il che può dirsi allora per il recepimento nazionale: anche il d. lgs. 70/2003 si è astenuto dall'introdurla per l'hosting nell'art. 16 (possiamo applicare il predetto brocardo al quadrato!). Ebbene, se in due occasioni di normazione i requisiti, di cui al considerando, non sono entrati nell'articolato (né europeo, né nazionale), allora significa che non sono stati voluti.
Resta allora da capire meglio la portata del considerando 42, se si concorda che sotto il profilo letterale non si riferisce all'hosting provider .
A conferma di ciò, si osservi che, da un lato, gli artt. 12 e 13 dir. 2000/31 regolano probabilmente il safe harbour in termini generali ed astratti, senza riferimenti alla lite specifica: in tal senso è pure la lett. e) dell'art. 13, che condiziona il safe harbour alla coerenziazione/aggiornamento dei dati di cache rispetto alla fonti originarie. Dall'altro, invece, l'art. 14 lo fa riferendosi alla condotta tenuta nello specifico caso sub iudice: è solo se l'hosting provider non sa della specifica illiceità lamentata o se, sapendolo, provvede a rimozione/disabilitazione, che può fruirne. Se questo è esatto, risalta ulteriormente l'incongruenza tra hosting provider e il cons. 42: quest'ultimo, infatti, si riferisce alle condotte in generale tenute dal provider, cioè al suo modello di business, non a quelle tenute in una determinata vicenda storico-processuale.
7. La pretesa «passività» e l'attuale modello di business delle piattaforme
Si potrebbe superare il dato letterale e riferirlo pure agli hosting provider, sulla base dell'argomento, per cui esprime un'esigenza generale, nel senso che vada riferita a chiunque voglia fruire di un safe harbour per il caso di commissione di illeciti da parte dei suoi utenti. In alternativa si potrebbe invece far governare la fattispecie dell'hosting provider solamente dall'art. 14 dir. 31/2000 (e art. 16 d. lgs. 70/2003): soddisfatto quanto ivi richiesto, null'altro gli è richiesto per godere dell'esenzione . Come detto sopra, infatti, in detti articoli non ci sono regole o requisiti equivalenti a quelli del cons. 42 .
Se si ipotizza di applicare il cons. 42 all'hosting provider, serve un ragionamento più approfondito. Teoricamente il servizio di hosting potrebbe effettivamente limitarsi a dare ospitalità ai materiali caricati o, per i motori di ricerca, a soddisfare le ricerche producendo un elenco di risultati. In tale caso però dovrebbero sostenersi facendo pagare un corrispettivo. Invece la scelta è stata quella di offrirli in modo (apparentemente) gratuito al grande pubblico (per questo chiamati siren servers ) e di riservare invece la richiesta di compenso per servizi aggiuntivi a coloro cui vengono forniti (inserzionisti, per lo più imprese) o comunque a coloro a favore dei quali vengono utilizzati i dati personali di chi naviga o ricerca "gratuitamente": "Google.. sussidia gli utenti mettendo a disposizione un ampio portafoglio di servizi gratuiti (ricerca, email, ) e rivende la loro attenzione agli inserzionisti pubblicitari con un pagamento «a risultato» (pay-per-click)" (potrebbero però esservi dei servizi aggiuntivi "premium" a pagamento , magari privi di inserzioni pubblicitarie ). E' noto però che, circa tutela della data protection, la natura del consenso espresso è discussa (per non dire che taluno muove critiche radicali alla scelta del consenso come baluardo della privacy) . E' stato osservato che questo modus operandi sia frutto di un mutamento del modello di business: inizialmente Google (che fece da battistrada, gli altri seguirono) intendeva offrire servizi a pagamento, ma senza pubblicità, e solo dopo scelse l'opposta soluzione .
Se si tiene conto di ciò, è ovvio che il provider spingerà al massimo per la fruizione dei contenuti caricati dagli utenti: da un lato, è proprio così che vengono raccolti i dati (le tracce) lasciate dai navigatori ì/fruitori e, dall'altro la maggior permanenza in rete aumenta gli spazi pubblicitari . I likes (ora gli emojis) di Facebook, ad es., solo apparentemente sono un modo per esprimere giudizi o sentimenti verso altre persone: in realtà sono stati creati per tracciare in modo sempre più preciso l'utente, senza il fastidio e l'impegno che avrebbe creato l'analisi di centinaia di post di commento . Facebook lo dice apertamente, ad es. nei documenti allegati al bilancio, con dichiarazione che vale la pena di riportare: «The size of our user base and our users' level of engagement are critical to our success. Our financial performance has been and will continue to be significantly determined by our success in adding, retaining, and engaging active users of our products, particularly for Facebook and Instagram. We anticipate that our active user growth rate will continue to decline over time as the size of our active user base increases, and it is possible that the size of our active user base may fluctuate or decline in one or more markets, particularly in markets where we have achieved higher penetration rates....If we are unable to maintain or increase our userbase and user engagement, our revenue and financial results may be adversely affected. Any decrease in user retention, growth, or engagement could render our products less attractive to users, marketers, and developers, which is likely to have a material and adverse impact on our revenue, business, financial condition, and results of operations. If our active user growth rate continues to slow, we will become increasingly dependent on our ability to maintain or increase levels of user engagement and monetization in order to drive revenue growth» . Impostazione che soddisfa (o dovrebbe soddisfare) sia l'utente, proponendo contenuti "gratuiti" analoghi a quelli già visti e dunque presumibilmente graditi, sia i venditori, indirizzando le loro proposte di vendita verso i navigatori che -dai dati ubiquamente raccolti- risultano più probabilmente interessati . Si chiama stickiness, cioè appiccicosità: la capacità delle aziende di attrarre gli utenti, di farli rimanere il più a lungo possibile e di farli tornare più e più volte ; cosa che tra l'altro ha indotto un a. a ravvisare un regresso verso posizioni passive (push invece che pull, lean back invece che lean forward, passive invece che active) dell'audience rispetto ai mezzi di comunicazione antecedenti e soprattutto rispetto alla televisione . E' stato significativamente osservato che «accumulare un pubblico on-line e come pompare aria in un pallone con una lieve perdita. Bisogna continuare a pompare per mantenere un livello costante di investimento, altrimenti il lavoro precedente si perde rapidamente. questi costi indiretti di distribuzione non sono opzionali per un sito di informazione o un blog mantenere un livello di stickiness superiore alla media è una questione di vita o di morte» . Ciò permette la c.d. profilazione, la quale è "una tecnica di trattamento (parzialmente) automatizzato di dati personali e/o non personali, finalizzata alla creazione di conoscenza predittiva mediante la scoperta di correlazioni tra i dati e la costruzione di profili, che possono essere poi utilizzati per assumere decisioni. Un profilo è un insieme di dati correlati che rappresentano un soggetto (individuale o collettivo). La costruzione di profili è il processo di scoperta di schemi ricorrenti e sconosciuti tra i dati, all'interno di grandi insiemi di dati, che possono essere utilizzati per creare profili. L'applicazione di profili consiste nell'identificazione e rappresentazione di uno specifico individuo o gruppo come corrispondente a un determinato profilo, e nel processo decisionale basato su tale identificazione e rappresentazione" . I dati sono raccolti in qualunque modo, sia in proprio sia acquisendoli da terzi , al punto che tale massiccia e continua attività -quale corrispettivo non monetario della fruizione di servizi internet- è stata qualificata come «tecnofeudalism» , perché ricorderebbe il rapporto medievale tra il ricco possidente e il coltivatore (serfs, per vero scrive l'a.): rapporto in cui il secondo, a fronte del diritto di usare il fondo del primo, di trarne i frutti e di ottenere una qualche protezione, si obbligava a trasferirgliene una parte . Altri scrive invece a questo proposito di data colonialism, facendo un parallelo con lo sfruttamento colonialistico delle ricorse di paesi extraeuropei . Naturalmente l'online behavioural advertising genera non piccoli problemi legati alla privacy e alla discriminazione , come ricorderò più avanti.
La profilazione, però, non è da esecrata da tutti, dato che altri la ritiene anzi soddisfacente, in quanto meglio soddisfacente i bisogni personali: il vero problema starebbe invece nella cessione alle piattaforme del surplus di valore, di cui sono portatori i dati personali raccolti presso gli utenti, visto che sono le prime a trarne enormi guadagni, senza alcun ritorno per i secondi .
Se si tiene conto di tale contesto socioeconomico , la risposta al quesito diventa difficile. Provvisoriamente, però, direi che la ratio, sottostante al requisito del ruolo solo automatico e passivo del cons 42, dovrebbe essere rispettata anche nel caso di quelle attività lato sensu promozionali, che invece spesso inducono i giudici a ritenerlo violato, con negazione del safe harbour . In altre parole, il provider indicizza e propone sì i file caricati dagli utenti, ma lo fa in modo massivo ed automatico, in base, da un lato, al tipo di contenuti presenti in detti file (rilevato da metadati, non da controllo dei fatti ivi rappresentati), e, dall'altro, alle preferenze rilevate dal tracciamento dati: analizza per ideal-tipi, cioè segmentando e categorizzando gli utenti . In particolare non distingue (non può distinguere, direi) tra file a contenuto lecito e file a contenuto illecito , particolarmente laddove il giudizio dipende dal contesto : il che è sufficiente per farlo rientrare nel concetto di safe harbour, emergente dal cons. 42 . E' vero che questo trattamento di dati, proprio perché opera un matching tra i due lati del mercato (preferenze dei navigatori vs. proposte commerciali degli inserzionisti) può dirsi che lo faccia in base ai contenuti, su cui vengono lasciate tracce dai navigatori: ma appunto si tratta -a quanto risulta- di tracce abbinate a parole chiave, abstract o altri parametri sintetici, prefissati per ciascun prodotto/file visionato . E' certo che, purtroppo, le piattaforme non hanno alcun incentivo a ridurre i contenuti socialmente pericolosi : ma ciò è altro dalla conoscenza dell'illecito via via sub iudice, che preclude la fruizione del safe harbour..
Secondo la Commissione UE, del resto, l'organizzazione e promozione dei file costituisce indice del requisito di «funzionalità essenziale» per integrare il concetto di «piattaforma per la condivisione video», secondo l'importante dir. 2018/1808 di modifica della dir. sui servizi di media audiovisivi (che richiederebbe esame specifico). E' dunque il tipo di business ad imporre queste modalità operative, a prescindere da qualunque partecipazione allo specifico illecito sub iudice. La dir. 2018/1808 sembra dare per scontato che simili piattaforme, in linea di massima comprendenti pure i social media , non abbiano responsabilità editoriale: dice infatti di applicarsi ai servizi offerti da simili piattaforme, «per i quali [servizi] il fornitore della piattaforma per la condivisione di video non ha responsabilità editoriale» (art. 1, che introduce l'art. 1 § 1 lett. a bis) nella dir. 2010/13). Teoricamente, o meglio letteralmente, potrebbe obiettarsi che la disposizione si limitasse a delimitare il proprio campo di applicazione ai servizi, per i quali la piattaforma non abbia responsabilità editoriale, impregiudicata l'esistenza di piattaforme che invece l'abbiano. Effettivamente la disposizione è ambigua, non chiarendo come vada dato il giudizio sulla presenza/assenza di responsabilità editoriale, in particolare se su base soggettivo/volontaristica (scelta, esplicita o implicita, della piattaforma) oppure oggettiva (in tale caso, su quale parametro): parrebbe esatta la seconda alternativa, anche alla luce del precedente (e in pratica contrapposto) concetto di «servizio di media audiovisivi», che ricorre quando l'obiettivo principale «sia la fornitura di programmi al grande pubblico, sotto la responsabilità editoriale di un fornitore di servizi di media, al fine di informare, intrattenere o istruire, attraverso reti di comunicazioni elettroniche» (art. 1, di modifica dell'art. 1 § 1 lett. a) della dir. 2010/13). Ad ogni modo, in base alla disposizione cit., è probabilmente legittimo dire che "di solito" le piattaforme ospitanti video degli utenti, pur se arricchite da organizzazione attiva e non solo passiva, sono prive di responsabilità editoriale. Pare allora azzardato privare del safe harbour simili piattaforme quando esse, per il legislatore, di solito non hanno responsabilità editoriale .
Del resto la C.G. esclude la legittimità di inibitorie preventive, che richiedano monitoraggio esteso, laddove rischino «di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed un contenuto illecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito. Infatti, è indiscusso che la questione della liceità di una trasmissione dipende anche dall'applicazione di eccezioni di legge al diritto di autore che variano da uno Stato membro all'altro. Inoltre, in certi Stati membri talune opere possono rientrare nel pubblico dominio o possono essere state messe in linea gratuitamente da parte dei relativi autori» . Ebbene, il non poter distinguere tra lecito e illecito, se osta a tale dovere di monitoraggio, è coerente ritenere che osti pure alla perdita del safe harbour: come non può rischiare di conculcare la libertà d'espressione degli utenti, così pure non può rischiare di conculcare il diritto al safe harbour degli internet provider. I diritti dei primi non sono maggiori in parte qua di quelli dei secondi, i cui servizi sono pure essenziali per la collettività .
Il che vale a maggior ragione, se si considera che gli algoritmi, governanti questi processi economici, son sempre più capaci di autoapprendimento (machine-learning, soprattutto le c.d. deep neural networks): con la conseguenza che i risultati vengono ottenuti da modelli (patterns) che nemmeno i progettisti riescono a spiegare (o non in toto) . Essi non predicono il futuro, ma - in base ai dati esistenti - stimano le probabilità che qualcosa accada . Per cui in tali casi non si può più parlare di "conoscenza o controllo delle informazioni trasmesse o memorizzate": a meno di imputare queste in via oggettiva, esito però (forse astrattamente plausibile, ma) in concreto difficilmente accoglibile, senza una norma ad hoc, visto il tenore del cons. 42, e sempre che gli sia dia l'importanza ermeneutica (decisiva), che gli danno i sostenitori della distinzione provider attivo/provider passivo .
Questo modus operandi allora non pare costituire "conoscenza delle informazioni trasmesse o memorizzate" ex cons. 42: non solo o non tanto perché sia automatizzato , quanto -ancor prima- perché la conoscenza, che serve ai grossi provider e quindi quella effettivamente raccolta nell'organizzare e proporre i file, è solo quella finalizzata a creare gli abbinamenti più compatibili (e quindi sperabilmente più desiderabili e fruibili) con le tracce delle fruizioni pregresse. Non è lontana da questa posizione quella di chi sostiene che la ratio del requisito di passività stia nel tracciare una linea divisoria tra materiali propri (o fatti propri, "adopted content", come per la responsabilità editoriale) e materiali altrui (third-party information), anziché nel restringere il safe harbour .
Proprio sulla difficile applicabilità a sé di questa distinzione gioca Facebook: da un lato pretende di non essere responsabile per l'illiceità dei materiali caricati dagli utenti, in quanto non propri, e dall'altro invoca però la freedom of speech di cui al Primo Emendamento («Congress shall make no law respecting an establishment of religion, or prohibiting the free exercise thereof; or abridging the freedom of speech, or of the press; ») : la quale però gli spetterebbe solo se avesse appunto responsabilità editoriale e cioè se creasse un proprio «expressive speech» . Di recente ha leggermente modificato (rectius: ha dichiarato di aver leggermente modificato) l'algoritmo per il newsfeed, incrementando le "meaningful social interactions" e retrocedendo i post imprenditoriali, di marchi commerciali e di mass media, per favorire il people well-being, pur se meno redditizio per la piattaforma. In realtà l'ha verosimilmente fatto soprattutto per ridurre il rischio di perdere il safe harbour posto dal (per lei utilissimo) § 230 CDA : e ciò sia riducendo il focus sul suo ruolo editoriale (che risalta di più nei contenuti spinti da Facebook rispetto a quanto avviene per quelli condivisi da familiari e amici), sia sviando l'attenzione pubblica (soprattutto di politici, giudici e pubblico in genere) dalla necessità di modifica del citato safe harbour (opzione recentissimamente attuata dal Presidente Trump tramite un suo executive order del 28 maggio 2020, a seguito della polemica con Twitter) .
8. Non necessità del requisito di passitivà (pur con qualche dubbio)
la conclusione suggerita potrebbe tuttavia sembrare opinabile, se uno applica il requisito di passività previsto dal cons. 42 pure all' hosting provider: dato il pesantissimo intervento degli algoritmi nel determinare ciò che gli utenti "vedono", può diventare difficile ritenere "neutre e passive" le piattaforme che li usano . Non resterebbe forse che un argomento teleologico, accennato sopra: il design dell'algoritmo è si determinante per newsfeed e SERP, ma per motivi diversi e non connessi con l'illecito sub iudice e con i contenuti illeciti in generale. Potrebbe obiettarsi che i contenuti illeciti, se fanno comodo alla piattaforma in termini di spazi pubblicitari (probabilmente è così, dato che i relativi fruitori saranno fruitori anche dei contenuti analoghi), la piattaforma è ben contenta di riproporli . Questa è però una considerazione di buon senso, che difficilmente costituisce prova sufficiente -nemmeno argomento di prova- sia ai fini della concessione del safe harbour, sia (in positivo) ai fini dell'affermazione di responsabilità: da un lato, è mera illazione e, dall'altro, in entrambi i casi è richiesto uno stato soggettivo relativo allo specifico illecito sub iudice anziché in astratto (a differenza del mere conduit, come visto) . Per cui bisognerebbe conoscere ed analizzare l'algoritmo, per accertare se si potesse ravvisare difetto (per colpa o dolo eventuale) nella sua progettazione complessiva: che a questo punto diverrebbe un prodotto difettoso, fonte di danni per i terzi che vengano in contatto con esso . Ma ci sarebbero serissimi problemi nell'accesso all'algoritmo nella probabile (quasi certa) ipotesi, in cui il titolare del diritto d'autore su di esso si rifiutasse di ostentarlo (anche solo in giudizio): da un lato, l'art. 210 c.p.c. riguarda "cose" e, dall'altro, notoriamente la sua inottemperanza è priva di sanzione (a parte la ravvisabilità di argomenti di prova ex art. 116 c.2 c.p.c.) .
Il punto è ad es. al centro dell'attenzione di saggi recenti, secondo cui la progettazione e in generale il modo di funzionare degli algoritmi di oggi son assai più complessi e assai più determinanti della diffusione dei contenuti ricevuti, rispetto a quelli diffusi nel 1996 (anno del § 230 Communications Decency Act, di seguito solo: § 230 CDA): per cui i provider che li usano non son più necessariamente protetti da tale ombrello, dato che possono diventare in tal modo responsabili o corresponsabili «for the creation or development of information» e dunque diventare content provider (§ 230.f.3 CDA) , sostanzialmente tramite la fine granularità (elevato dettaglio) delle opzioni di scelta possibili agli utenti. La considerazione è interessante, ed è supportata pure da analisi tecniche , solo che si basa su una disposizione che da noi non esiste: da noi, per fruire del safe harbour, basta che il provider non sappia dell'illiceità portata dai file ospitati o che, se sa, provveda subito alla rimozione/disabilitazione . Pertanto, ad una prima riflessione, non pare desumibile dal dettato normativo esistente. Né dall'art. 14 dir. 2000/31 § 1, laddove richiede che si tratti di informazioni fornite dal suo cliente (quindi non in proprio): indubbiamente i file illeciti sono caricati proprio dal cliente della piattaforma. Né dall'art. 14 dir. 2000/31 § 2, non potendosi dire che organizzare e proporre file alla fruizione di possibili interessati equivalga a diventare content provider.
Si potrebbe insistere nella linea qui avversata (ma fatta propria dalla maggior parte di giurisprudenza e dottrina), dicendo che anche solo il proporre quanti più file possibile incrementa la possibilità di downloading (anche) di quelli illeciti e quindi il rischio di violazioni. Anzi, visto che il diritto è governo di conflitti reali, dicendo che nel caso specifico le proposte della piattaforma hanno contribuito alla violazione dello specifico diritto azionato. Tuttavia l'allegazione del contributo all'aumento di rischio di violazione non pare pertinente: non è questo che (non solo nell'art. 14 d dir. 2000/31 ma nemmeno) nel cons. 42 osta al safe harbour.
Del resto e passando alla responsabilità in positivo (anziché solo in negativo, come proprio del safe harbour) , l'incremento del rischio di violazioni pare irrilevante pure ai fini del giudizio di responsabilità (aquiliana, precedendo l'avviso): il soggetto leso, infatti, dovrebbe dimostrare che i download del file illecito sono avvenuti a causa dei suggerimenti della piattaforma . Se invece si ritenga che già la mera messa online costituisca violazione, allora l'attività organizzativo-indicizzatoria-propositiva della piattaforma non gioca alcun ruolo causale.
Infine c'è un'altra ragione che milita a favore dell'inclusione nell'area del safe harbour delle piattaforme lato sensu intese. Anche se per ipotesi si togliessero tutti i suggerimenti pubblicitari, non si avrebbero comunque risultati "puri" (o "naturali, come si dice ad es. per quelli prodotti dai motori di ricerca per contrapporli a quelli "sponsorizzati"). Parlare di risultati puri o naturali presupporrebbe che esistessero in rerum natura e cioè in via oggettiva, a prescindere dal contributo della piattaforma: il che non è . Il newsfeed di Facebook e l'elenco risultati dei motori di ricerca sono totalmente frutto di un algoritmo, che, da un lato, viene costantemente modificato (spesso dopo appositi test ) sulla base di varie esigenze (non ultime le pressioni dirette o indirette degli inserzionisti ), e, dall'altro, dipende dallo stesso utente in base alla sua personale storia (tracking) di navigazione (nella misura in cui l'algoritmo lo prevede), sicchè la presentazione delle informazioni cercate varia da utente ad utente . Ad es. il News Feed di Facebook non è solamente «a weighted formula with thousands of inputs, but rather a constantly updated, personalized machine learning model, which changes and updates its outputs based on your behavior, the behavior of people you are connected with, and the behavior of the affinity and personality-based sub-group of users the system judges you to belong to. Facebook's formula, to the extent that it actually exists, changes every day» . Sicchè l'idea persistente "that platforms are open, impartial, and unregulated is an odd one, considering that everything on a platform is designed and orchestrated" . Per non dire che nei casi delicati ci sono pure interventi manuali sui risultati dei motori di ricerca e che ci sono varie tecniche per ingannare il motore di ricerca, i cui esiti a loro volta contribuiranno a determinare i futuri page rankings . Quindi non ci sono offerte naturali od oggettive di risultati: tutto è solo frutto delle istruzioni algoritmiche, sottoposte a continuo cambiamento. Il punto è stato ben colto in una nota sentenza statunitense Search King c. Google Technology del 2003: «However, this reasoning ignores the important distinction between process and result. Here, the process, which involves the application of the PageRank algorithm, is objective in nature. In contrast, the result, which is the PageRank or the numerical representation of relative significance of a particular web site is fundamentally subjective in nature. This is so because every algorithm employed by every search engine is different, and will produce a different representation of the relative significance of a particular web site depending on the various factors, and the weight of the factors, used to determine whether a web site corresponds to a search query» .
La "passività" di questi internet provider non esiste né è mai esistita, sicchè il mito della loro c.d. "neutralità", è appunto solo un mito . Ne segue che, se si insiste nel pretenderla, le piattaforme attuali, anche in ipotesi optassero per rimuovere ogni pubblicità, per il solo fatto di prestare il servizio informativo in base ad algoritmo da loro creato, non potrebbero mai fruire del safe harbour. Non credo che questa sia la scelta ordinamentale: il fatto, che non esistessero all'epoca della dir. 2000/31, non impedisce di interpretarla in via evolutiva, per tener conto di come si sono modificati da allora i servizi internet di questo tipo.
9. Ancora ipotizzando di applicare il cons. 42 all'hosting provider
Inoltre, sempre ipotizzando di applicare il cons. 42 al tipo hosting provider, servirebbe pure un adattamento del cons. medesimo. Il suo primo periodo («le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui più efficiente la trasmissione»), infatti, come sopra accennato, è applicabile solo ai primi due tipi di provider, non alla memorizzazione duratura. Rimarrebbe testualmente applicabile la seconda parte, che è così condensabile: i) attività meramente tecnica, automatica e passiva; di conseguenza ii) il prestatore non conosce le informazioni memorizzate; e iii) nemmeno le controlla.
I punti ii) e iii) sono soddisfatti. Infatti non si può dire che egli conosca i contenuti dell'enorme numero di file presenti sui suoi server. Nemmeno si può dire che li controlli, dato che sono caricati e gestiti dai suoi utenti. E' vero che immancabilmente nei contratti con costoro il provider/piattaforma si riserva il diritto di modificare, elaborare, riprodurre, etc. i materiali: ma si tratta di potere che di fatto, a quanto immagino, non viene esercitato se non in remote eventuali ipotesi, tra cui: evitare azioni di inadempimento o risarcimento del danno nel caso provveda a rimuovere i contenuti e/o disabilitare l'accesso perché richiesto dal soggetto leso o ingiunto dal giudice e/o violazione della policy della piattaforma.. Invece il controllo, che fa perdere il safe harbour, è quello che viene usualmente esercitato nei fatti, in modo che si possa dire che anche il provider ha contribuito alla diffusione in rete: ad es. quando filtrasse in modo volutamente lasco i file manualmente o anche informaticamente, opportunamente settando i parametri per permettere il passaggio di certi temi o siti. Ma si tratterebbe di prova difficile per il soggetto leso e che comunque, per restare in tema, venendo offerta ex post, non potrebbe escludere ex ante dal safe harbour le piattaforme, che procedono ai consueti trattamenti di elencazione, organizzazione, indicizzazione etc. . A proposito del profilo del controllo, può ricordarsi la differenza tra il modello di business di Spotify e quello di Youtube: il primo sceglie e controlla totalmente e in piena autonomia i contenuti che propone, sicchè sa esattamente quali sono in un dato momento (in sostanza è una responsabilità c.d. editoriale); Youtube si limita a organizzare i contenuti caricati dagli utenti .
Profilo interessante, perché la riserva di eseguire la censura sui contenuti (o la sua applicazione reale, per chi ne chiede l'effettività, come a me pare), da un lato, tutela contrattualmente il provider verso il suo cliente; dall'altra, però, rischia di fargli perdere il safe harbour per la ragione appena accennata e cioè perché può dirsi che egli abbia il controllo sull'operato del cliente stesso (art. 14 § 2 dir art. 16 c. 2 d. lgs. 70/2003). C'è quindi da valutare per un provider, se convenga realmente filtrare i contenuti: se non lo fa, mantiene il safe harbour perché è neutro e quindi la sua responsabilità sorge solo quando ha notizia del singolo illecito, secondo la disciplina dell'art. 16 d. lgs. 70/2003; se invece filtra, rischia di perdere il safe harbour, anche se probabilmente si salverà comunque, in quanto la sua condotta sarà ritenuta diligente e quindi non colposa ex art. 2043.
Anche il punto sub i) (attività meramente tecnica, automatica e passiva), tutto sommato, può dirsi rispettato, come sopra anticipato. E' probabile che il legislatore UE non avesse in mente questo tipo di attività: negli anni 1999-2000 (sarebbe da verificare) ancora non esistevano le predette caratteristiche del servizio di hosting. In ogni caso, leggendo bene il cons. 42, la conseguenza del rispettare tale punto i) è quella, di cui alla prosecuzione del cons. ("il che implica che non conosce né controlla" i contenuti), che abbiamo appena visto venir rispettata. In altre parole, i profili della tecnicità, automaticità e passività, sono menzionati in relazione all'unico effetto, che per il cons 42 pare rilevante: che ne consegua l'assenza in capo al provider della conoscenza o del controllo delle informazioni (cioè dei contenuti). Dovremmo allora concludere che il punto sub i) è rispettato pure dalle attuali modalità di conduzione delle piattaforme di hosting. In fondo tutti sanno che sui contenuti esse non incidono e che l'unico loro intervento è nell'ampliare e facilitare le possibilità di ricerca e individuazione delle informazioni, cui si è interessati (per generare maggior esposizione alla pubblicità, naturalmente). Questo può portare forse a facilitare (statisticamente) le violazioni , ma non ne è affatto conseguenza necessaria e comunque non è verificabile in relazione allo specifico caso sub iudice.
E allora, riprendendo le osservazioni anticipate sopra, la domanda è se questo aspetto collida col concetto di attività meramente i) tecnica, ii) automatica e iii) passiva. Circa i) la risposta dovrebbe essere negativa, dato che, per come si è sviluppato il mercato, questi suggerimenti indicizzati sono per lo più quelli desiderati dai navigatori e dunque fanno parte necessaria del servizio. Tecnicamente, è offerto e desiderato così dall'utente: cioè è quest'ultimo che in base al tracciamento dei suoi dati inseriti nell'algoritmo determina l'offerta o i suggerimenti. Circa ii) la risposta è pure negativa, dato che essi son attuati tramite complessi software. Circa iii) la difficoltà è apparentemente maggiore, dato che di fatto il provider non si astiene affatto, ma propone nuovi contenuti simili. Però l'interpretazione corretta del requisito ha a che far col contenuto (come conferma il riferimento del seguente cons. 43 all'alterazione della integrità della informazione) e si è visto che su di essi il provider ben raramente si intromette; per cui si può dire che contenutisticamente il provider non svolge affatto un ruolo attivo. In conclusione, le consuete modalità propositive dei contenuti, praticate dalle piattaforme, paiono rimanere all'interno delle attività ammesse dal cons. 42.
Nessun rilievo sotto questo profilo possiede la circostanza, per cui il provider percepisce un compenso dalle proposte commerciali connesse ai contenuti da lui organizzati e proposti ai navigatori. La disciplina, infatti, concede il safe harbour a chi non sa dei contenuti o a chi, appena sa dell'illiceità, li rimuove; con questo la maggior o minor lucratività non ha alcun ruolo .
Potrebbe ravvisarvi forse un ostacolo alla tesi qui sostenuta nell'art. 14 c. 1 lett. b)-c), d. lgs. 70/2003, laddove esclude il safe harbour per l'access/mere conduit provider che selezioni i destinatari o le informazioni. Se, anziché dare accesso o trasmettere tutto ciò che gli viene richiesto, egli filtra in modo da far passar alcune cose si ed altre no oppure in modo da permettere l'invio a Tizio ma non a Caio, è sensato che non goda di un ombrello protettivo a priori. Potrà ex post non essere ritenuto concorrente (nell'illecito costituto da ciò che ha lasciato passare), ma appunto ex post, non esentatone ex ante.
Ci si potrebbe infatti chiedere se questa ragione fosse da applicare pure all'hosting provider, per poi escludere l'ombrello protettivo nel caso dell'indicizzazione/organizzazione/promozione de qua. La risposta dovrebbe essere negativa, sia perché la disposizione specifica tace sul punto, sia perché l'hosting provider propone file/post ulteriori (in base alla sua "storia") rispetto a quelli visionati, senza modificare alcun programma di invio o trasmissione di un ipotetico soggetto inviante: "selezionare", invece, significa filtrare e cioè ridurre il numero dei contenuti/post inviati o dei destinatari di un ipotetico atto trasmissivo a monte. L'intervento del provider, dunque, è sostanzialmente di tipo opposto nei due casi (l'attività promozionale delle piattaforme determina un ampliamento oggettivo o soggettivo di ciò che gli utenti chiedono; l'altro determina una riduzione selettiva): per cui la regola, posta per l'uno, non può essere estesa all'altro. Questa osservazione vale non solo per il profilo oggettivo (contenuti id est, "informazioni" ex art. 14 cit.), ma anche per il profilo soggettivo (selezione dei destinatario).
10. Alcune sentenze sul punto della pretesa necessità che si tratti di provider passivi
Sul punto, come comprensibile, si è pronunciata diversa giurisprudenza, europea e nazionale. Quanto alla prima, ricordo Google France v. Vuitton e altri in tema di marchi circa il servizio pubblicitario "di posizionamento" AdWords, in cui -in base al quantum pagato- l'inserzionista si pone più in alto o più in basso nei risultati delle ricerche. Qui la Corte si limita a dire che anche per l'hosting provider si applica la regola del cons. 42 e che per l'accertamento della passività è semmai rilevante non il servizio in sé di posizionamento, ma «il ruolo svolto dalla Google nella redazione del messaggio commerciale che accompagna il link pubblicitario o nella determinazione o selezione di tali parole chiave», ciò che tocca al giudice nazionale verificare (§ 118-119). Alla fine però esclude che il suo ruolo sia attivo (§ 120).
Più significativo è il dictum nel caso L'Oreal ed altri c. eBay ed altri ove la Corte dice che «Come ha giustamente osservato il governo del Regno Unito, la mera circostanza che il gestore di un mercato online memorizzi sul proprio server le offerte in vendita, stabilisca le modalità del suo servizio, sia ricompensato per quest'ultimo e fornisca informazioni d'ordine generale ai propri clienti non può avere l'effetto di privarlo delle deroghe in materia di responsabilità previste dalla direttiva 2000/31 (v., per analogia, sentenza Google France e Google, cit. punto 116). Laddove, per contro, detto gestore abbia prestato un'assistenza consistente segnatamente nell'ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte, si deve considerare che egli non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma che ha svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte. In tal caso non può avvalersi, riguardo a tali dati, della deroga in materia di responsabilità di cui all'art. 14 della direttiva 2000/31» (§§ 115-116) : con l'immancabile aggiunta per cui l'accertamento, se ciò ricorra nel caso specifico, spetta al giudice nazionale rinviante (§ 117). Dunque secondo la C.G. l'ottimizzare la presentazione delle offerte in vendita e la loro promozione gli fa perdere il ruolo passivo e osta all'invocabilità del safe harbour. La posizione è nel metodo immotivata, dato che queste attività non costituiscono conoscenza né controllo dei contenuti (ciò che per la Corte conferisce il ruolo attivo: § 113), e nell'esito non condivisibile. Tale presa di posizione è stata seguita da sue successive pronunce .
In analogo senso alcuni giudici italiani come Trib. Roma RTI c. Vimeo n. 693/2019 del 10.01.2019 RG n.23732/2012 (ed altri ivi citati) e come due successive decisioni di Trib. Roma con uguale relatore (ma diverso dalla prima ), aventi sempre RTI come attore e Dailymotion da un lato e Vimeo dall'altro come convenuti .
Prendiamo queste ultime due e in particolare la prima di esse (RTI c. Dailymotion), dato che il ragionamento è sostanzialmente uguale per la parte di interesse. Il Tribunale in generale accoglie la distinzione tra hosting provider attivo e passivo, per escludere il primo dal safe harbour. Quest'ultimo presuppone il "solo stoccaggio dei dati in maniera tecnica automatica e passiva senza e conoscenza e controllo dei dati memorizzati", per cui perde la neutralità «allorquando in relazione a determinati contenuti audiovisuali e sulla base delle emergenze processuali emerga che abbia perso il carattere di neutralità e passività alla base di tale esenzione, operando sui dati che carica forme di intervento volte a sfruttare i contenuti dei singoli materiali caricati dagli utenti e memorizzati sui propri server ed operando in generale sotto le forme del controllo, della conoscenza e della profilazione dei dati ed in maniera non automatizzata» . Nello specifico applicando tali principi, ritiene Dailymotion hosting provider attivo, dato che «si tratta quindi di un'archiviazione forse automatica (anche se il consulente tecnico d'ufficio ha parlato di uno staff a ciò dedicato e risultano dal bilancio costi per il personale superiore a 3,5 milioni di euro nel 2017, circostanza questa che lascia supporre l'esistenza di un nutrito gruppo di soggetti impiegati stabilmente nelle attività collegate alla gestione della piattaforma) ma sicuramente non "neutra" nel senso inteso dalla direttiva ed interpretato dalle Corti, perché finalizzata ad una gestione dei dati ad esclusivo profitto della società convenuta che presuppone un vaglio dei contenuti memorizzati ( ). L'archiviazione, almeno per quanto concerne i contenuti video oggetto del presente procedimento, secondo degli specifici indici che collegano ad una de-terminata categoria potenziali e maggiori introiti pubblicitari, sono serio indice di coinvolgimento della società nella gestione dei contenuti.( ) In altre parole DAILYMOTION, lungi dall'operare quale semplice intermediario, ovvero per amore della libertà di espressione e per la divulgazione del pensiero, sembra perseguire la veicolazione e la diffusione più ampia possibile di filmati a mezzo internet massimizzando le visualizzazioni, poiché da ogni video divulgato trae i suoi utili per la vendita di servizi pubblicitari collegati alla diffusione dei filmati. La calibrazione e la profilazione pur effettuate ex ante, forse anche solo a mezzo di cookies, non escludono un disegno preventivo finalizzato alla gestione/manipolazione complessiva del materiale caricato. È difatti sempre l'uomo, secondo degli schemi ben precisi, che profila i cookie di profilazione» . Come osservato sopra, il principale motivo alla base di questo giudizio (il profitto tratto dalle proposte di video ai navigatori) è a mio parere ininfluente sulla applicabilità del safe harbour previsto per l'hosting provider .
In senso opposto (e preferibile) altre pronuncia secondo cui "il punto di discrimine tra fornitore neutrale e fornitore non neutrale debba esser individuato nella manipolazione o trasformazione delle informazioni dei contenuti trasmessi o memorizzati come peraltro suggerito (sebbene con riferimento alle attività di "mere conduit" e "caching") dal considerando n. 43 della Direttiva 2000/31/CE, estensibile, per analogia, anche al caso dell'hosting, nonché come anche chiarito dai successivi considerando n. 44 e 46 che richiamano l'intenzionalità e l'inerzia di fronte a specifiche informazioni dell'avvenuto illecito quali momenti di discrimine per il venir meno dell'operatività delle deroghe di responsabilità." per poi precisare che «se invero il fornitore di servizi internet, non si limita a un mero ruolo di intermediario fra due soggetti distanti mettendo a disposizione la propria piattaforma tecnologica, ma rielabora o partecipa alla redazione del contenuto intermediato, si avrà in questo caso una piena responsabilità civile secondo le regole comuni. Qualora invece vengano attuate delle mere operazioni volte alla migliore fruibilità della piattaforma e dei contenuti in essa versati (attraverso - ad esempio - il caso tipico della indicizzazione o dei suggerimenti di ricerca individualizzati per prodotti simili o sequenziali ovvero quello altrettanto tipico dell'inserzione pubblicitaria e dell'abbinamento di messaggi pubblicitari mirati), le predette clausole di deroga di responsabilità continueranno ad operare poiché nel caso in esame ci si troverà nell'ambito di espedienti tecnologici volti al miglior sfruttamento economico della piattaforma, e non già innanzi a un'ingerenza sulla creazione e redazione del contenuto intermediato» . La conseguenza è che tutta l'attività pubblicitaria e di indicizzazione di Youtube non gli fa perdere la neutralità . Analoga è la posizione espressa l'anno seguente sempre dal Tribunale torinese tra le stesse parti in un diverso sviluppo processuale della lite .
Nella stesa linea si colloca il cit. appello Milano 2015 nella lite RTI c. Yahoo . Secondo questo giudice «le attuali tecnologie avanzate, in mancanza di altri elementi in grado di fare intravedere una vera e propria manipolazione dei dati immessi da parte dell'hosting provider, non siano da sole in grado di determinare il mutamento della natura del servizio di hosting provider di tipo passivo (secondo la classificazione utilizzata dalla giurisprudenza nazionale richiamata dalla sentenza appellata), in servizio di hosting provider di tipo attivo, in ragione della mera presenza i) di sofisticate tecniche di intercettazione del contenuto dei file caricati, attraverso un motore di ricerca, e ii) delle più svariate modalità di gestione del sito e iii) del particolare interesse del gestore a conseguire vantaggi economici» (§ 24) dato che "il regime di esonero dalla responsabilità, espressamente previsto nell'art. 14 della direttiva, non viene certamente intaccato dalla presenza di indici di attività meccanica e non manipolativa nel trattamento dei dati immessi, come è stato meglio specificato nel caso C-324/09, L'Oreal c. eBay» (§ 27).
Il giudizio è avallato dalla seguente decisione di legittimità, la cit. Cass. 7708/2019, che ritiene corretta l'affermazione di fruibilità dell'ombrello protettivo ex art. 16 d. lgs. 70/2003 da parte della sezione Video del portale Yahoo . Tuttavia la S.C., pur giungendo a tale esito nel caso specifico, ritiene errata la negazione a priori di rilevanza giuridica all'hosting provider attivo : anzi, tale nozione "può ormai ritenersi dunque un approdo acquisito in ambito comunitario" (sub § 4.2). Tra l'altro cita a conforto un considerando di una versione antecedente della attuale dir. 790/2019 sulla modifica del diritto d'autore : il passaggio è però errato. Da un lato, ciò potrebbe intendersi nel senso opposto e cioè nel senso che la precisazione del cons. serve proprio perché la normativa ex dir. 2000/31 non dava rilevanza all'hosting provider attivo. Dall'altro, i considerando non hanno forza normativa autonoma, per cui cedono ad un testo incompatibile con esso: ed è proprio il caso de quo, dato che il seguente art. 13 non menzionava tale pur importantissima regola, la quale quindi non poteva ritenersi posta dall'art. 13 medesimo, muto sul punto, e di conseguenza doveva ritenersi abbandonata. In ogni caso il problema è superato dal testo finale della dir. (successivo al deposito di Cass. 7708/2019) ed anzi pare modificato in direzione opposta: scomparsa l'affermazione del precedente cons. 38, l'attuale cons. 61, 3° e 4° periodo, dice che la ratio di introduzione della nuova disciplina (che qualifica d'imperio l'hosting di materiali coperti da diritto d'autore come comunicazione al pubblico) consiste nel superare l'incertezza giuridica della condotta di chi ospita materiali protetti. Tale affermazione di incertezza giuridica, allora, contraddice la giurisprudenza europea citata. Inoltre, passando all'articolato, il fatto, che l'articolato sia ancora una volta muto sul punto in esame, non permette di ravvisare nella dir. 790 alcun elemento a favore della perdita del safe harbour nel hosting provider c.d. attivo .
Nella stessa linea da me sostenuta pare Cass. pen. III, ud. 17.12.2013 e dep. 03.02.2014 n. 5107 (caso Google c. Vividown), che trova conforto in tale posizione per negare a Google/Youtube la titolarità del trattamento dati personali, riservandola solo agli utenti uploader (§§ 7.2-8).
Così anche la giurisprudenza statunitense sulle piattaforme di videosharing, che ha riconosciuto loro il safe harbour di cui al § 512(c) del 17 US code, molto simile a quello europeo . Si consideri quanto osserva il giudice in Viacom v. Youtube «As previously noted, the District Court held that the statutory phrases "actual knowledge that the material... is infringing" and "facts or circumstances from which infringing activity is apparent" refer to "knowledge of specific and identifiable infringements." [...] For the reasons that follow, we substantially affirm that holding.» (§ 39) e poi circa le funzioni di transcoding e di play-back a vantaggio dell'utente: «The relevant case law makes clear that the § 512(c) safe harbor extends to software functions performed "for the purpose of facilitating access to user-stored material." [...] Two of the software functions challenged heretranscoding and playbackwere expressly considered by our sister Circuit in Shelter Capital, which held that liability arising from these functions occurred "by reason of the storage at the direction of a user." [...] Transcoding involves "[m]aking copies of a video in a different encoding scheme" in order to render the video "viewable over the Internet to most users." [...] The playback process involves "deliver[ing] copies of YouTube videos to a user's browser cache" in response to a user request. [...] The District Court correctly found that to exclude these automated functions from the safe harbor would eviscerate the protection afforded to service providers by § 512(c)» (§ 77) (grassetto aggiunto) .
11. Sintesi del ragionamento sul tema della pretesa passività
In sintesi, che grandi provider spingano al massimo per la fruizione di quanto caricato dagli utenti, è indubbio, dato che i relativi contenuti permettono spazi pubblicitari e la rilevazione di dati con cui affinare gli algoritmi; che questo sia incompatibile col disposto del cons. 42, invece, è assai dubbio. In particolare, circa il secondo periodo di tale cons., non pare eccedere l'"attività meramente tecnica e passiva" essendo stata creata apposta per sfruttare in automatico e in via massiva i dati degli utenti . Nemmeno però è interpretabile come conoscenza o controllo dei contenuti. La situazione dunque è dubbia, ma al momento è preferibile permettere anche a questo tipo di business il safe harbour, sulla base di i) un argomento letterale e ii) di uno teleologico. Quanto ad i), l'art. 14 -certamente prevalente sui cons.- e l'art. 16 d. lgs. 70/2003 non menzionano i requisiti di cui al cons. 42. Quanto ad ii), viene rispettata la ragione del safe harbour , consistente nel non applicarsi a condotte imprenditoriali che facilitino consapevolmente le violazioni: eventualità che non ricorre, dato che come sopra ricordato, le promozioni commerciali si rivolgono indistintamente a tutti i contenuti, senza distinguere tra fonti lecite e illecite. Perciò non può dirsi che l'attività di indicizzazione/organizzazione/promozione favorisca (consapevolmente) le seconde: questa in fondo è la ragione del safe harbour, anche nella versione immaginata dal cons. 42, come risulta dalla proposizione finale "il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate". Valutazione che potrà essere riconsiderata, anche alla luce di maggiori informazioni sugli algoritmi che governano il funzionamento delle piattaforme.
E' vero che questo sistema serve a promuovere non solo merci ma -questo è l'aspetto più preoccupante- pure idee, dal lato utente, e vendite o impieghi di dati personali, dal lato inserzionista . Già sono stati evidenziati i seri e gravi pericoli per i processi politico/democratici e sociali in genere, derivanti dalla qualità di gatekeepers globali della comunicazione , alla luce dell'esponenziale incremento dei dati passanti sui loro server , soprattutto dopo l'incremento di comunicazione digitale a seguito della pandemia del 2020 (anche se si dimenticano altre pressioni sul gioco democratico, assai meno visibili , e anche se taluno riesce a cogliere ciò nonostante un fenomeno di balkanization dell'internet, con ritorno a walled gardens ). Tali pericoli sono legati soprattutto:
-alla riduzione del tasso di esposizione ad idee diverse dalle proprie (filter bubbles ed echo chambers , le seconde diverse dalle prime per la presenza di una scelta più o meno volontaria dell'utente, anziché dell'algoritmo , a dispetto dell'importanza delle esperienze condivise per creare il c.d. capitale sociale ; anche se si legge di una parziale retromarcia di qualcuno ), complessivamente chiamati "acceleratori tecnologici" , personalizzazione che mette in crisi il concetto tradizionale del pubblico dibattito, che presupporrebbe che tutti ricevessero le stesse informazioni per fare scelte informate ; del resto, la tendenza a frequentare persone (considerate) simili a sé fa parte della natura umana , avendo probabilmente ragioni biologico-evolutive profonde; con accentuazione dunque della polarizzazione verso gli estremi delle opinioni espresse nel dibattito socio-politico ;
- alla intermediazione tra offerenti e destinatari, concentrata in un numero ridottissimo di potentissimi soggetti privati , a differenza dall'era televisiva , anche se qualcuno fa un parallelo con precedenti colossi aziendali come Standard Oil ), i quali possono tra l'altro liberamente modificare gli algoritmi che determinano i post (newsfeed) o i risultati che ciascuno riceve ; i social media infatti costituiscono «the first significant speech forum in which a single "curator" controls both the production and receipt of speech by individual participants, determining simultaneously and continuously what each participant is allowed to say and to whom, and what speech each participant is allowed to receive, and how» ;
- alle loro enormi capacità di lobbying e di offrirsi come finanziatori di settori in crisi come quello giornalistico ;
- alla equiparabilità di piattaforme come Facebook ai mezzi di informazione quanto ad efficacia informativa, anche se formalmente ospitante contenuti caricati dagli utenti, con conseguente (prima facie, almeno) inapplicabilità della relativa normativa editoriale ;
- allo sfruttamento della vulnerabilità delle persone rilevata (in tempo reale, si badi , se non addirittura create ad hoc ) dal finegrained microtargeting tramite le innumerevoli tracce lasciate nel web (sia quelle volontariamente lasciate che quelle solo osservate o addirittura semplicemente inferite ), ultima fase evolutiva delle Big Tech secondo l'analisi di Zuboff , per cui può parlarsi di «dynamical emotional targeting» ) e alla capacità di condizionamento comportamentale (anche inconsapevole) propria della profilazione , essendo maestri nell'applicazione del nudge sulla base delle migliori conoscenze di behavioral science , anche se non mancano voci perplesse sulla reale capacità di precisione ed efficacia del microtargeting ;
- alle incrementate possibilità di harassment via internet ;
- all'opacità (anzi: totale oscurità) degli algoritmi, che non permette né di conoscere la logica e i dati su cui operano né di rilevarne gli (inevitabili) errori e ciò anche in termini di discriminazioni sociali (che proprio per questo sono assai meno percepibili rispetto a quelle proprie dell'era pre-algoritmica) di vario tipo (ad es. pure l'età o l'importanza sociale del soggetto, su cui bisogna decidere se keep up o invece take down ), magari in forma indiretta/occulta (c.d. proxy discrimination) (anche se, adoperati all'inverso, gli algoritmi possono prevenire le discriminazioni) , opacità del modus operandi del'A.I. che è di per sé unfair , a poco servendo nei fatti gravare di responsabilità per danni i produttori di A.I. (sostanzialmente per prodotto difettoso) quando questa si basi su dati inaccurate oppure inappropriate o è stata "allenata" male o comunque è stata creata negligentemente secondo la scienza statistica e/o informatica;
- all'aumento notevole della diffusione di "bufale informative" (fake news ), anche nella versione più pericolosa delle deepfakes, quando consistono in falsi audiovisivi (in costante aumento per la crescente facilità informatica di loro creazione) e della disinformazione in generale , che le piattaforme riescono ad affrontare in termini (non stranamente) solo probabilistici : il che produce minor credibilità nei media ;
- alla violazione della privacy di una persona tramite l'aggregazione massiva di dati che la riguardano ;
- alla possibilità di digital abuse, sempre più diffuso e la cui gravità è sottostimata ;
- al fatto che sono le Big Tech a dettare le regole tecniche di cybersecurity, in assenza però dei consueti baluardi di difesa democratica (trasparenza, partecipazione, neutralità etc.) che operano quando il decisore è pubblico . Discorso che va esteso all'artificial intelligence in generale, dato che, da un lato, la sua pervasiva diffusione regola ormai la vita delle persone in più sensi e lo farà sempre più, e, dall'altro, che gli algoritmi sottostanti sono sviluppati da enti privati, ai quali di fatto deleghiamo il comando di molte attività umane, senza che vi sia una loro corrispondente accountability .
Oppure pericoli legati alla regolarità della competizione economica, come quando l'algoritmo favorisce i prodotti della piattaforma -che è quindi in conflitto di interessi- rispetto a quelli degli altri venditori ivi ospitati (a caro prezzo) , combinato con l'effetto rete per cui il loro potere di mercato aumenta sempre più , dato che si avvalgono di tecnologie che per loro natura portano a dinamiche del tipo winner-takes-all ; o come quando si sfruttano i consumatori con discriminazioni di prezzo, tramite l'estrazione del c.d. surplus del consumatore, dato che il microtargeting permette di individuare con una buona precisione il massimo che egli è disposto a spendere ; o infine i pericoli per il calo di innovazione tecnologica nel caso che le big platforms acquistino le più interessanti start-up, anziché lasciarle prosperare e acquisire la loro tecnologia dal mercato secondario . Ed anzi le Big Tech cercano di incrementare il loro già enorme potere, facendo lobbing sui governi per la stipula di accordi internazionali sul digital trade del tipo di quelli alla base della Word Trade Organization , per non dire di altre conseguenze assai dannose (poco note) legate al forte contributo dato al surriscaldamento globale . Del resto, le collettività nel corso della storia hanno spesso cercato di impedire la formazione di poteri privati troppo ampi .
Tutto questo, però, non rileva nel caso nostro, ove il legislatore ha voluto riservare il safe harbour a chi non sa dell'illiceità (e a chi sa, ma subito ha proceduto a rimuovere i contenuti e/o disabilitare l'accesso): situazione circa la quale la struttura oligopolistica in sé del mercato degli intermediari poco o nulla dice. Le pur serissime preoccupazioni per il tasso di democraticità e per la trasparenza dei processi politici, non è con questo corpus normativo che vanno affrontate.
12. Intermezzo su una recente e nota sentenza di Cassazione
Secondo una recente opinione giurisprudenziale, «la distinzione tra hosting provider attivo e passivo può, a ben vedere, agevolmente inquadrarsi nella tradizionale teoria della condotta illecita, la quale può consistere in un'azione o in un'omissione, in tale ultimo caso con illecito omissivo in senso proprio, in mancanza dell'evento, oppure, qualora ne derivi un evento, in senso improprio; a sua volta, ave l'evento sia costituito dal fatto illecito altrui, si configura l'illecito commissivo mediante omissione in concorso con l'autore principale. La figura dell'hosting provider attivo va ricondotta alla fattispecie della condotta illecita attiva di concorso. ( ) Dunque, si può parlare di hosting provider attivo, sottratto al regime privilegiato/ quando sia ravvisabile una condotta di azione, nel senso ora richiamato» . L'affermazione lascia perplessi, laddove par dire che l'hosting provider, quando è "attivo", diventa automaticamente concorrente nell'illecito. Si confondono due piani diversi: A) il concorso nel singolo illecito sub iudice; B) la modalità di svolgimento (in generale, non nel caso sub iudice) della propria attività da parte dell'internet provider, per capire se può fruire o meno del safe harbour. La distinzione tra provider attivi e passivi ha a che fare col secondo piano, sub B), mentre non ha nulla a che fare col primo. In altre parole, il fatto, che un provider sia qualificato come attivo, non significa che gli si possa per ciò solo addebitare il concorso con l'utente in un certo illecito.
Come sopra ricordato, il concorso fonte di (cor-)responsabilità civile prevede un contributo in termini causali nella produzione dell'evento di danno portato in giudizio: circa l'accertamento di quest'aspetto fattuale, però, solitamente nulla può segnalare che il business condotto dal provider sia strutturato o meno con le attività di filtro/suggerimento/indicizzazione etc. che i giudici utilizzano per ravvisare il ruolo attivo . Bisognerebbe provare che tale modello di business avesse causato o contribuito a causare -anche solo in termini probabilistici- la specifica violazione sub iudice: prova a priori impossibile se per "violazione" si intende il mero uploading e comunque difficilissima (probabilmente impossibile, almeno per il soggetto leso) anche se per "violazione" si intendono dowloading, condivisione, linking e simili.
Inoltre la distinzione tra illecito omissivo proprio e improprio è di dubbia trasponibilità nella responsabilità civile: questa esiste solo in caso di contributo causale (omissivo o commissivo non conta: nel primo caso omissione c.d. impropria) alla produzione di un danno, mentre non rileva la mera violazione del dovere di attivarsi cioè l'astensione in sé a prescindere da un danno (omissione c.d. propria).
13. Il provider di mero trasporto (art. 14 d. lgs. 70/2003). L'inibitoria/injunction
Per l'attività di semplice trasporto, che comprende pure il dare accesso alla rete (art. 14 d. lgs. 70/2003) , il provider non è responsabile se i) non dà origine alla trasmissione , ii) non seleziona il destinatario, iii) non seleziona ne modifica le informazioni trasmesse . Sono i profili, che concretizzano per questo tipo di provider quel ruolo di passività e automaticità di servizio appena visto e indicato dal cons. 42 dir. 2000/31. In effetti, se vuole qualificarsi come provider di mero trasporto/mero accesso non può -lo si comprende- porre in essere azioni rientranti nei tre tipi indicati dalla legge: non sarebbe più un provider di mero trasporto, in quanto sarebbe lui a dare almeno in parte la direzione (o il contenuto) alla attività comunicativa inizialmente realizzata dall'utente. Il safe harbour allora verrà meno e si applicherà la disciplina di diritto comune: probabilmente ci sarà un concorso del provider con l'utente uploader .
Il comma 2 fornisce una specificazione, della quale non ci sarebbe stato bisogno, dal momento che anche questa memorizzazione automatica e transitoria, se necessaria al funzionamento del servizio, doveva comunque essere ritenuta irrilevante ai fini della fruizione delle esimente. Piuttosto è interessante l'esplicitazione -anche se pur essa non sarebbe a questo punto necessaria- che la memorizzazione automatica debba essere limitata al tempo "ragionevolmente" (non "strettamente", ad es.) necessario all'esecuzione della trasmissione (c.2): una memorizzazione maggiore esorbita dal ruolo passivo e neutro. Il che anticipa ciò che rileva pure nel cahing provider, anche se ivi non è detto con questa precisione, ma è comunque ricavabile (c. 1: "effettuata al solo scopo di rendere più efficace il successivo inoltro"; v. anche lett. c) e lett. e)) .
Secondo il c. 2, il safe harbour è concesso anche per le attività di memorizzazione temporanea, dettate da ragioni solo tecniche (anche in termini temporali) per le miglior esecuzione del servizio. Nulla dice più di quello che sarebbe stato ricavabile dal c. 1 in base ad ordinaria interpretazione teleologica , anche se così si evitano fastidiose discussioni.
Il c. 3 contiene una regola, che si ripete quasi identica anche nelle altre tipologie di provider (art. 15/2 e art.16 / 3), e dunque ne accenno qui. Si fa salva la possibilità che l'autorità (giudiziaria o amministrativa con funzioni di vigilanza: su quest'ultima sarebbe interessante ragionare per individuarla compiutamente ) esiga che il prestatore delle tre tipologie impedisca o ponga fine alle violazioni commesse o meglio che "in quel momento" risultino commesse (l'ordine può infatti anche essere messo in via d'urgenza id est solo cautelare). Si tratta dell'inibitoria cioè di quel provvedimento che proibisce un certo comportamento: in particolare, di proseguire quello in atto oppure di tenerlo (di nuovo o per la prima volta) in futuro. Nella fattispecie, può attuarsi nella dualità comportamentale menzionata della rimozione dei materiali (le informazioni) o -a monte- della disabilitazione dell'accesso: questo quanto al por fine alla violazione commessa. Quanto all'impedimento per il futuro, consisterà nell'implementare (oppure nell'utilizzare in modo appropriato se già ne dispone) i software (cosiddetti filtri) che individuano i materiali -allo stato- ritenuti illeciti. Si tratta in sostanza di una misura con finalità non sanzionatoria ma collaborativa .
La norma ripete pari pari quella corrispondente della direttiva, a parte il riferimento alla possibilità di disporlo anche in via d'urgenza: precisazione poco utile, poiché se l'inibitoria è ammessa in via definitiva, non si vede come la si possa escludere in via cautelare (tale essendo la via d'urgenza) . Essa vuole dire che, anche se il provider fruisce delle esenzione da responsabilità, ciò nonostante può essere soggetto ad inibitoria (v. pure cons. 45). L'affermazione è pacifica, alla luce del dettato normativo , e conferma che la reazione all'illecito non consiste solo nella responsabilità, nel senso di risarcimento del danno, ma anche in altre misure, la principale delle quali è appunto l'inibitoria . Non ci sono particolari problemi nell'interpretare il contenuto dell'inibitoria: la legge è sufficientemente chiara nel senso che deve trattarsi di cessazione o prevenzione relativamente a specifici materiali ovvero -come è stato sintetizzato- deve avere carattere cooperativo e non sanzionatorio .
Non affronto invece per problemi di spazio il tema della parte su cui debbano ricadere i costi d'implementazione dei filtri, anche se importante nella pratica e oggetto di diverse soluzioni a livello europeo . La normativa europea tace, mancando sia disposizione esplicita che norma implicita: né quest'ultima è ravvisabile nel secondo periodo del cons. 59 dir. 2001/29 («In molti casi siffatti intermediari sono i più idonei a porre fine a dette attività illecite»), che si riferisce al fatto che sono gli intermediari ad avere il controllo tecnologico e contrattuale dei materiali caricati . Il punto, come in genere la disciplina contenutistica dell'inibitoria, sarà allora regolato dai diritti nazionali e lo si desume pure dall'ultimo periodo del cons. 59 dir. 2001/29 («Le condizioni e modalità relative a tale provvedimento ingiuntivo dovrebbero essere stabilite dal diritto nazionale degli Stati membri») e dall'analogo dictum (non si può scrivere "regola", "disposizione" etc.) del secondo periodo del cons. 23 dir. 2004/48 (uguale al prec., tranne che per la sostituzione del termine «ingiuntivo» con «inibitorio») . La disciplina contenutistica europea sul punto pare limitarsi ai vaghissimi criteri (nemmeno clausole generali, direi, dato che è difficile individuare gli standard di rinvio), posti dall'art. 3 dir. 2004/48 § 1 e 2 per le «misure e procedure», concetto nel quale le ingiunzioni rientrano , nonché -come al solito- nel limite della non incompatibilità col diritto UE.
I casi reali discussi di access-mere conduit sono pochi. Ricordo Mc Fadden c. Sony , in cui la C.G. ha così qualificato la messa a disposizione del pubblico di una rete wifi all'interno (forse anche all'esterno) di un negozio da parte del titolare. La Corte ha detto che: i) nessun altra condizione è richiesta per l'applicazione dell'art. 12 dir, oltre a quanto espressamente ivi richiesto: in particolare non è necessario un rapporto contrattuale ad hoc né che sia stata fatta pubblicità di questa iniziativa (§§ 44-54); ii) il dovere di prevedere l'immediata rimozione/disabilitazione -ex art. 14 § 1 lett. b)- non è applicabile per analogia a detto tipo di internet provider (§§ 62-65; più per impossibilità tecnica che per esclusione di principio, parrebbe); iii) il soggetto leso può chiedere al provider la rimozione/disabilitazione, ma non un risarcimento del danno o rimborso di spese legali (§ 79); iv) è compatibile con l'art. 12 (e con le dir. 2001/29 Infosoc e 2004/48 c.d. enforcement) un'inibitoria, che lasci la scelta della misura restrittiva al fornitore di accesso, anche se questa poi si limita ad imporre una password agli utenti, però « nei limiti in cui gli utenti di detta rete siano obbligati a rivelare la loro identità al fine di ottenere la password richiesta e non possano quindi agire anonimamente, circostanza che spetta al giudice del rinvio verificare» (5°, 9° e 10 ° questione pregiudiziale, §§ 80 ss, spt. § 101) .
E' stata affermata la natura "speciale" della disciplina del mere conduit, stante il favor ivi contenuto: con la conseguente inapplicabilità analogica a casi non previsti . Ora, intendendo "speciale" come "eccezionale" ex art. 14 preleggi, la peculiarità della disposizione (che arrivi al punto della eccezionalità ex art. 14 prel., è da vedere) parrebbe stare nel fatto che, per fruire del safe harbour, chi presta questo tipo di servizio internet può limitarsi a provare il (non) ricorrere dei tre requisiti posti dal c. 1 e niente più. In particolare è esclusa una valutazione della sua condotta in termini di colpa/negligenza, come previsto dalla disciplina dell'illecito aquiliano.
Ponendo la regola circa l'hosting provider (art. 14 § 3), la Direttiva menziona la possibilità per gli Stati membri di definire procedure per la rimozione delle informazioni o la disabilitazione: probabilmente aveva in mente la procedura di notice and takedown del diritto statunitense. Ne segue che questa, qualora venga istituita a livello nazionale, è liberamente regolabile dallo Stato, non essendo oggetto di armonizzazione, dal momento che la Direttiva stessa rinvia in modo esplicito la competenza nazionale e senza obbligatorietà . La precisazione è utile, perché avrebbe potuto invece essere intesa come materia strumentalmente necessaria a creare armonizzazione sulla disciplina della responsabilità: invece la Direttiva chiarisce che esula dal proprio ambito applicativo e compete solo agli Stati, qualora vogliano istituirla (quindi compete loro sia nell'an sia nel quomodo). Potrebbe a dire il vero contestarsi ciò e sostenere -solo in astratto- che la procedura in questione fosse rilevante ai fini della creazione di un mercato unico ben funzionante per i servizi internet. Ad esempio la nuova Direttiva copyright impone agli Stati di adottare dei meccanismi di reclamo e ricorso, che però, dato il tenore della norma, par da intendere come meccanismi che operino ex post e cioè dopo che la rimozione o disabilitazione siano già avvenute. Ma così ha disposto il legislatore europeo. Tuttavia un'indicazione con rilevanza ex ante non manca e consiste nella necessità che la richiesta del titolare sia debitamente motivata. Il legislatore italiano, però, non ha colto questa possibilità per la dir. 2000/31, anche se potrebbe essere introdotta ora con una semplice modifica al d. lgs. 70/2003, che imponesse un contraddittorio con l'utente, al quale venisse trasmessa l'istanza del sedicente titolare con concessione di un breve termine per repliche .
14. Il caching provider (art. 15 d. lgs. 70/2003)
Il secondo tipo di provider regolato è quello che conduce un'attività di memorizzazione temporanea cosiddetta caching. Il "Web caching è la caching di documenti web (pagine HTML, immagini, ecc.) per permettere di ridurre l'uso della banda e il tempo di accesso ad un sito web. Una web cache memorizza copie di documenti richiesti dagli utenti, successive richieste possono essere soddisfatte dalla cache se si presentano certe condizioni" . Si capisce dunque perché questo tipo di memorizzazione automatica, intermedia e temporanea non generi responsabilità, se effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari e a loro richiesta (articolo 15 c. 1 prima parte). La legge però aggiunge una serie di ulteriori condizioni per fruire dell'esenzione, alcune delle quali non sono di immediata comprensione .
La prima (lett. a) è la più semplice da interpretare e consiste nel non dover modificare le informazioni stesse: la modifica pare da riferire al contenuto trasmesso (v. cons. 43 dir) .
La condizione sub b) sembra da intendere nel senso che non deve modificare o violare le condizioni di accesso ai dati presenti nella fonte originaria (la conformità dunque è rispetto alla fonte originaria): e cioè nel senso di non eludere restrizioni o di non modificare altri dati relativi all'accesso (come ad es. la sua localizzazione e cioè che non faccia apparire una URL diversa da quella vera ). In realtà la norma ha ampia portata, per cui fa perdere il safe harbour qualunque modifica della disciplina di accesso ai dati presente nella fonte.
Probabilmente fa perdere il safe harbour anche il mero violare un eventuale divieto di realizzare copie cache delle pagine di un sito (da vedere, allora, se basti un divieto espresso in linguaggio naturale oppure -come parrebbe- debba essere realizzato nel modo tecnologicamente adeguato per essere colto in automatico dai crawlers dei motori di ricerca) .
le condizioni sub c) e sub e) hanno a che fare con il rapporto tra i dati memorizzati in cache e i dati originari e più precisamente l'aggiornamento dei primi rispetto ai secondi. La lettera sub c) impone l'onere di conformarsi ad eventuali standard di aggiornamento, che possono essere ritenuti "ampiamente riconosciuti e utilizzati dalle imprese del settore" . Si tratta insomma -soprattutto per la lett. c)- di un classico esempio di clausola generale e in particolare di diligenza professionale, la quale curiosamente bypassa la definizione breve e va a concretizzarsi direttamente nel rinvio alle fonti esterne, secondo quanto aveva già colto Mengoni nella sua definizione del concetto di clausola generale. In breve, è come se la legge avesse imposto direttamente un obbligo di diligenza relativamente all'aggiornamento.
Altri fa riferimento alla necessità di non trattenere le informazioni in cache per troppo tempo, dato che le pagine web sono oggetto di modifiche frequenti, sicchè la loro visione non aggiornata sarebbe di danno allo stesso provider. Il primo punto pare persuasivo, dato che la frequenza di svuotamento della cache incide sull'aggiornamento richiesto dalla lett. c). Il secondo punto lo è meno: la ragione dell'onere non sta nella tutela dell'interesse del provider, il quale baderà a sé stesso esercitando la libertà di impresa, quanto piuttosto nella tutela del pubblico dei navigatori: ed anzi sta nella tutela dei titolari delle situazioni giuridiche coinvolte nell'informazioni de quibus circa il loro diritto di controllare la diffusione quali-quantitativa dei dati che li riguardano. Quindi il dire che risulta determinante il fattore tempo, nel senso che, se la memorizzazione da temporanea diventa duratura, scatta la disciplina dell'hosting , è inesatto: la memorizzazione può essere duratura e rimanere tipologicamente caching, ma deve i) essere sottoposta ad aggiornamento ex lett. c) art. 15 d. lgs. 70/2003; e poi ii) essere appunto solo una cache cioè "specchio" di quanto memorizzato in un sito di origine.
La lett. e), dicevamo, riguarda sempre la questione dell'aggiornamento delle informazioni memorizzate in cache: solo che -a differenza dalla lettera c), che opera ex ante- qui il provider interviene ex post. Ex post nel senso che deve prontamente rimuovere le informazioni o disabilitare l'accesso, appena venuto a conoscenza del fatto che queste sono state rimosse nella loro sede originaria o che è stato disabilitato l'accesso alle medesime (a qualunque titolo: conta il dato oggettivo della sopravvenuta assenza in quel luogo, a prescindere da una correttamente formatasi volontà sottostante tali azioni, come invece i termini "rimozione" e "disabilitazione" potrebbero far pensare) oppure che la rimozione o disabilitazione sono state disposte da un giudice o da un'autorità amministrativa (sembra di capire che lo questo ordine dell'autorità giudiziaria o amministrativa riguardi la sede originaria, non il provider stesso, perché in tal caso è lecito presumere che il legislatore si sarebbe espresso in modo diverso ). In tal modo si dovrebbe ad es. evitare che la lesione, già arrecata, venga perpetuata .
In sintesi le due lettere c) ed e) riguardano l'aggiornamento e la "coerenziazione" tra la fonte e la memorizzazione in cache: la lettera c) impone di farlo in via preventiva secondo gli standard di settore, mentre la lettera e) lo impone ex post cioè dopo aver ricevuto notizia della modifica nella fonte originaria. Ampliando la sintesi, le lett. b-c-e- riguardano tutte il rapporto tra memorizzazione cache e memorizzazione nella fonte originaria: la prima relativamente alle condizioni di accesso, le altre relative ai contenuti.
Da ultimo, la lettera d), quella dal significato meno chiaro, pare riferirsi alla possibilità che il provider setti la memorizzazione cache in modo da interferire nel (cioè ostacolare il) funzionamento di tecnologia (programmi) che i titolari dei diritti, coinvolti nelle informazioni, possano utilizzare per controllare la diffusione quali-quantitativa delle informazioni stesse . La disposizione non precisa chi è il soggetto che può aver interesse ad avvalersi di soluzioni tecnologiche per raccogliere dati «sull'impiego delle informazioni»: ma parrebbe logico ritenere che fosse il titolare delle informazioni stesse o meglio il titolare del diritto ivi rappresentato o espresso. Se così è, immagino che il riferimento implicito sia soprattutto ai titolari di diritti di P.I. o simili, che tengano sotto controllo la diffusione delle loro creazioni o segni distintivi. Anche qui c'è un riferimento agli standard di settore, ma in senso diverso (opposto, verrebbe da dire) rispetto alla lett. c): in quest'ultima, come visto, il riferimento è all'onere gravante sul provider, di rispettare gli standard di aggiornamento e coerenziazione; nella lett. d), invece, il riferimento è agli standard utilizzabili dai titolari dei diritti, con i quali non deve interferire la memorizzazione cache praticata dal provider.
Infine al c. 2 è disposta la possibilità di inibitoria, come poi nell'art. 16 c. 3 e nel precedente art. 15 c. 23, cui rinvio. Secondo un a. la disposizione sarebbe non necessaria, dato che è prevista nel cons. 45 : ma incomprensibilmente, dato che da un lato il recepimento è obbligatorio, trattandosi di direttiva e non di regolamento e, dall'altro, che il considerando non ha efficacia vincolante.
15. Cenni sul contenzioso intorno a queste prime figure di provider
Queste prime due figure di provider hanno generato poco contenzioso . Va però accennata la lite RTI c. Yahoo che ha riguardato il caching provider. RTI citò in giudizio Yahoo per violazione dell'inibitoria emanata da Trib. MI 09.09.2011 n. 10893-RG 79619/2009 e in subordine per violazione ("originaria" potremmo dire, non "derivata" dall'inibitoria) dei diritti di RTI. Il Trib. Milano con sentenza 25.09.2014 n. 11295-RG 19226/2012 respinge la domanda rilevando che nella sentenza del 2011 il comando era riferito alla sezione Video del portale Yahoo, mentre le violazioni ora portate in giudizio riguardavano il motore di ricerca Yahoo Italia Search. A parte ciò, entrando nel merito, il Tribunale ha ritenuto che la funzione di motore di ricerca, consistente nell'offerta di link correlati alla richiesta dell'utente, va inquadrato come cache provider, in quanto neutrale rispetto ai dati provvisoriamente memorizzati (§ 3). Ha aggiungo che la stessa conclusione vale per i connessi servizi di embedding (riproduzione sul sito Yahoo di immagini collocate nel sito d'origine) e di suggest search (§ 4). Circa il linking e il suggest search, il giudizio è condivisibile: non c'è nemmeno la riproduzione o comunicazione al pubblico. Circa l'embedding, il giudizio appare invece più dubbio, dato che non pare rientrare nel concetto di «memorizzazione effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta» ex art. 15. Sarà anche vero che è totalmente automatizzata (p. 23), ma non rispetta il predetto requisito. Il Trib. dice che il frame del sito di origine, presente sul portale Yahoo, è conseguenza di una scelta non di quest'ultimo ma del primo (p. 23). Se effettivamente Yahoo non potesse assolutamente evitare ciò, allora la cosa forse cambierebbe: forse, però, visto che anche in questo caso non si rispetterebbe il requisito indicato, che attiene al funzionamento tecnico-informatico del servizio. Ma pare dubbio che non possa impedire la riproduzione di queste immagini .
La Cassazione, adita ex art. 348 ter c.p.c. a seguito della dichiarazione di inammissibilità dell'appello, ha confermato l'esattezza della sentenza di primo grado, pur se senza approfondimenti degni di rilievo : ha confermato, da un lato, l'esattezza della qualificazione del motore di ricerca come caching provider e, dall'altro, ciò che la legge dice chiaramente e cioè che il provider non ha alcun dovere di rimozione/disabilitazione prima dell'ordine dell'autorità .
Una decisione romana, ravvisando la qualità di mere conduit in Telecom, ha affermato che l'unica violazione concerneva il mancato avviso ex art. 17 c.3 d. lgs. 70/2003, per cui il suo titolo di responsabilità era diverso da quelli degli utenti/uploader. Per questo Telecom non poteva essere destinataria di provvedimenti repressivi della violazione da costoro commessa, dal momento che, non essendo costoro presenti in causa, non era possibile procedere ad accertamento della violazione da loro compiuta. Né in senso contrario si potrebbe opporre né l'inibitoria ex art. 14, c.2, che spetterebbe solo al giudice che accerta la violazione primaria né l'inibitoria ex art. 163 l. aut., che in nulla amplierebbe il raggio d'azione dell'inibitoria ex d. lgs. 70/2003 . L'interessante iussum cautelare richiederebbe maggior esame, sostanziale e processuale (anche sul fatto che la corresponsabilità ex art. 2055 c.c. di solito dà luogo a litisconsorzio facoltativo anziché necessario), per cui qui mi limito ad una breve osservazione. La sua apparente logicità potrebbe essere scalfita dal fatto che, anche si trattasse di hosting provider ex art. 16 d. lgs. 70/2003, la sua soggezione ad inibitoria ex c. 3 prescinde dal titolo di responsabilità e cioè esiste pure se egli non sia corresponsabile: è sufficiente che egli sia l'host del materiale illecito. Per cui processualmente potrebbe ravvisarsi nell'inibitoria ex c.3 un'azione in cessazione soggettivamente autonoma, sganciata dall'accertamento verso i titolari del fatto illecito. Analogamente potrebbe ragionarsi per il caso di mere conduit: il fatto che il titolo di responsabilità sia diverso da quello degli utenti, non dovrebbe impedire un accertamento della condotta degli utenti stessi limitato al solo ruolo di intermediario, finalizzato ad ottenere l'inibitoria. Tale accertamento, da un lato, sarebbe concettualmente diverso da quello costituito dalla violazione dell'art. 17 c.3 e, dall'altro, sarebbe naturalmente inopponibile agli utenti, uploader del materiale illecito.
In tema di search engines, è stato acutamente rilevato che la C.G. in GC ed altri c. Google, C-136/17, 24.09.2019, ai §§ 45-47, insegnando come applicare gli artt. 8 §§ 1 e 5 della dir. 1995/46 o gli artt. 9 § 1 e art. 10 del reg. 2016/679 c.d. GDPR, ha esplicitamente costruito uno safe harbour per detti motori, così costruendo di fatto uno speciale regime di notice and take down all'interno dell'art. 9 GDPR (riprendendo uno spunto delle Conclusioni dell'Avvocato Generale) . Il passaggio è il seguente: «Pertanto, tenuto conto delle responsabilità, competenze e possibilità del gestore di un motore di ricerca in quanto responsabile del trattamento effettuato nell'ambito dell'attività di tale motore di ricerca, i divieti e le restrizioni [di cui agli artt. appena citt.] possono applicarsi ( ) a tale gestore solo a causa di tale indicizzazione e, quindi, per il tramite di una verifica da effettuare, sotto il controllo delle autorità nazionali competenti, sulla base di una richiesta presentata dalla persona interessata». Il punto è importante (meriterebbe specifico esame). A prima vista sembrerebbe trattarsi di un safe harbour speciale o meglio autonomo da quello della dir. 2000/31, dato che la Corte non la menziona: per cui pare trattarsi di un'applicazione diretta del canone della diligenza, esigibile da un internet service provider. Ricorre poi una significativa differenza, rappresentata dal fatto che l'illiceità è qui costituita non da materiali altrui, bensì dalla condotta stessa del motore di ricerca (la sua indicizzazione del dato altrui) .
Ricordo solo -data la scarsa chiarezza delle condizioni per fruire del Safe Harbor dell'articolo 15 (art. 13 dir. 2000/31)- l'interpretazione o meglio un esempio fornito da Cass. 7709/2019 circa la lettera B («si conformi alle condizioni di accesso delle informazioni»). Secondo la Corte un esempio si ha quando il caching provider «ometta di rendere disponibili al pubblico nella memoria cache delle informazioni che invece non sono tali nel sito di provenienza» (p. 8, sub §3.1): dovrebbe però esserci un errore, dal momento che la norma pare voler dire che si fruisce dell'esenzione, quando le informazioni o il loro accesso nella memoria cache siano conformi a quanto è presente sul sito originario. In breve la coerenziazione tra memorizzazione cache e quella nel sito originario dovrebbe portare a leggere l'inciso della cit. S.C. come se dicesse «Omette di rendere disponibili al pubblico nella memoria cache informazioni che invece sono tali nel sito di provenienza» oppure «rende disponibili al pubblico nella memoria cache informazioni che invece non sono tali nel sito di provenienza». Se così fosse, però, l'interpretazione non parrebbe persuasiva, dal momento che, parlando di condizioni di accesso, la legge pare riferirsi proprio non ai contenuti, ma alla possibilità completa o ristretta di accedervi: l'esempio della S.C. si attaglia. invece. alla lettera c) oppure alla lett. e) .
Sempre di Cass. 7709/2019 va ricordato il principio di diritto, pure di dubbia esattezza, secondo cui «nell'ambito dei servizi della società dell'informazione, la responsabilità del cd. caching, prevista dall'art. 15 del d.lgs. n. 70 del 2003, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall'ordine proveniente da un'autorità amministrativa o giurisdizionale» (§ 3.1, in fine).
Infatti, da un lato, può essere fuorviante menzionare solo l'ordine dell'autorità, quando invece l'articolo 15 lettera e) menziona anche altri casi. Dall'altro lato, ricorre il (frequente, invero) errore, secondo cui il non rispettare le condizioni poste dall'articolo 15 c. 1 (come dall' articolo 16 c. 1 e dall'articolo 14 c. 1) comporta automaticamente l'affermazione di responsabilità. Al contrario, trattandosi di esenzione, il loro mancato rispetto comporta semplicemente la perdita della stessa, dovendosi poi giudicare secondo le norme comuni (anche se è probabile come si è detto sopra, che la condotta sia negligente e dunque si arrivi ad un'affermazione di illiceità appunto secondo dette norme comuni).
Da ultimo, questa Cassazione ribadisce al § 3.2 che al caching provider non è richiesto, anche quando sa di contenuti illeciti tramite diffida stragiudiziale o domanda giudiziale, di rimuoverli spontaneamente. Ciò è corretto, perché nell'art. 15 non c'è una norma come quella di cui all'articolo 16 c. 1 lett. B, che "obbliga" (meglio: onera) alla rimozione/disabilitazione appena notiziato. L'unica norma, che comporta un dovere per il caching provider di attivarsi, è allora l'articolo 17 comma 2, ove però il dovere consiste solamente nell'informare le autorità ed eventualmente fornire le informazioni indicative sul proprio utente .
16. L'hosting provider (art. 16 d. lgs. 70/2003). Esatta attuazione delle norme europee?
Veniamo infine all'articolo 16 che regola il terzo tipo di provider, cosiddetto hosting provider, dato che è colui che memorizza in via permanente i dati caricati dall'utente. Si tratta della fattispecie più frequente e comunque quella, sulla quale si son sviluppati massimamente il contenzioso e l'attività interpretativa della dottrina. E' proprio così che vengono a realizzarsi le attività lesive più disturbanti: sono infatti le piattaforme, ospitanti contenuti in via permanente destinati alla pubblica visione, a possedere maggiore maggior potenzialità lesiva.
L'incipit è lo stesso dell'articolo 14 e 15. Si dice che il provider non è responsabile qualora ricorrano le condizioni poi elencate. Non è chiaro se le due condizioni (lett. a e lett. b) siano poste in via alternativa ovvero congiuntiva: il tenore di quello nazionale parrebbe legarle invece tramite una congiuntiva a differenza dalle disposizioni della dir..
La normativa comunitaria con la disgiuntiva sembra porre due condizioni diverse in base a due specifiche situazioni (cioè una per ciascuna situazione), a seconda che il provider sia o meno a conoscenza della illiceità dei materiali ("dell'attività o dell'informazione") oppure -nel caso di azioni risarcitorie- sia o meno a conoscenza di fatti che comunque rendano manifesta tale illiceità (cioè sempre dell'attività o dell'informazione) . Nel caso (e fino a che) "non sia effettivamente a conoscenza" di ciò, il provider fruisce dell'esimente. Nel caso invece in cui ne sia a conoscenza, il provider è esentato solo se, appena venuto a conoscenza di tali fatti , agisce immediatamente per rimuovere i contenuti e/o disabilitare l'accesso. In breve, la costruzione dovrebbe allora essere la seguente: il provider non è responsabile i) se non sa; oppure ii) se sa, purchè, appena venuto a sapere, rimuova i contenuti e/o disabiliti l'accesso.
In generale, la trasposizione nazionale presenta due principali problemi interpretativi, riguardanti l'uno il rapporto tra la lett. a) e la lett. b) e, l'altro, la sola lett. b). Tuttavia qui li distinguo solo per comodità espositiva, dato che la soluzione dell'uno influenza quella dell'altro e dunque l'interpretazione deve procedere contestualmente. L'interpretazione è complessa, anche perché bisogna tener conto pure di quanto dispone l'art. 17, soprattutto il suo c. 3.
Quanto al primo problema, non dicendo nulla, la legge per alcuni sottintende una congiuntiva tra la lett. a) e la lett. b) (necessità di entrambi i requisiti: tesi cumulativa) anziché una disgiuntiva (sufficienza di uno solo: tesi disgiuntiva). La tesi parrebbe da respingere almeno per tre motivi: uno di logica e gli altri di interpretazione complessiva, che tiene conto pure del secondo problema interpretativo dell'art. 17. Quanto al primo motivo, la tesi della congiunzione si baserebbe su un'interpretazione illogica, se non erro. Infatti si avrebbe che, per fruire del safe harbour, il provider dovrebbe trovarsi contemporaneamente nello stato soggettivo di non conoscenza (lett. a) e di conoscenza dell'illiceità (lett. b): il che non è possibile, potendosi chiedere o l'uno o l'altro, ma non entrambi. Si potrebbe obiettare che l'illogicità non esiste, dato che la lett. b) per il caso di conoscenza opera in un momento successivo a quello della lett. a) e cioè opera proprio quando il provider sia stato notiziato. Questo però non infirma il ragionamento, in quanto conferma invece che i due requisiti sono alternativi e cioè non possono operare nella medesima fattispecie concreta (conoscenza/non conoscenza). Per cui è più esatta la disgiuntiva europea, la quale potrà essere inserita nel testo italiano in via interpretativo-correttiva.
Quanto al secondo motivo per respingerla, la tesi congiuntiva oblitera la valenza precettiva della lett. a), se non erro. Infatti pretendere in ogni caso la comunicazione dell'autorità (lett. b), comporta che per ciò solo il provider sia sempre a conoscenza dell'illiceità dei file: la comunicazione infatti sarà motivata proprio in questo senso. Quindi la lett. a) perderebbe rilevanza e ciò in pratica equivarrebbe alla sua abrogazione. Il che non pare ammissibile, se esistono altre vie interpretative.
Il terzo motivo per respingerla è dato dal fatto che la legge delega, pur essendo muta sul punto (al pari dell'art. 16 d. lgs. 70/2003), intendeva però "dare organica attuazione alla direttiva 2000/31/CE": per cui può dirsi che vada interpretata come la dir. stessa e quindi con la disgiuntiva.
In senso contrario e cioè sfavorevole alla tesi disgiuntiva, diversi autori osservano che non pretendere un ordine dell'autorità renderebbe il provider arbitro del conflitto tra l'interesse del soggetto leso e quello dell'utente/cliente/uploader. Il che, tenuto conto della probabile inclinazione a privilegiare il primo, comporterebbe il rischio di lesione del secondo, soprattutto circa l'esercizio del libertà di manifestazione del pensiero. L'obiezione è seria ma, tutto pesato, pare preferibile rimanere con la tesi disgiuntiva. Rimando alle osservazioni sul punto esposte poco sotto.
Il secondo problema, di più difficile soluzione e vero punto di divergenza tra la norma nazionale (art. 16 c.1 lett. b) e quella europea (art. 14 c.11 lett. b), riguarda la necessità di comunicazione dell'autorità, richiesta dalla prima ma non dalla seconda. Abbiamo appena visto infatti che l'esenzione italiana, nel caso che il provider sappia dell'illiceità, spetta solo se provveda ad immediata rimozione/disabilitazione "su comunicazione dell'autorità, competenti": cioè, parrebbe, la conoscenza, che fa scattare l'onere di rimozione/disabilitazione, è solo quella "qualificata", in quanto proveniente da un'Autorità. Il punto è' qui solo anticipato per chiarezza, ma verrà ripreso poi.
17. Esenzione da cosa?
Torniamo alla lett. a) la quale pure non è di cristallina chiarezza, pur se senza differenze rispetto alla dir. Qui varia la qualità della conoscenza richiesta a seconda che si tratti di azioni giudiziarie non risarcitorie (art. 16 c. 1 lett. a) prima parte) oppure risarcitorie ((art. 16 c. 1 lett. a) seconda parte). Nel primo caso deve trattarsi di conoscenza effettiva della illiceità dell'attività o delle informazioni, mentre nel secondo caso basta che sia al corrente di fatti, che rendano manifesta dette illiceità e cioè che questa sia percepibile in modo indiretto ma chiaro.
Non è difficile capire perché simile disposizione sia stata oggetto di diverse interpretazioni.
Si è detto da alcuni -è forse la tesi più diffusa- che la prima parte concerne la responsabilità penale e la seconda quella civile . In senso contrario è stata rilevata la sua incongruità perché l'elemento soggettivo per la pretesa responsabilità penale ("conoscenza effettiva dell'illiceità") sarebbe meno accentuato di quello per la pretesa responsabilità civile ("illiceità manifesta"): sul presupposto che il primo sia appunto un quid minus rispetto al secondo, intendendo cioè la prima espressione (per la responsabilità penale) come sufficienza di una illiceità "anche solo dubbia", ed intendendo la seconda espressione (per la responsabilità civile) come necessità di una illiceità manifesta cioè conclamata . La critica non pare calzante, dato che il secondo requisito pare invece più attenuato: si riferisce non alla consapevolezza della illiceità delle informazioni/attività non diretta ma solo indiretta e cioè relativa a fatti da cui discenda (pur se pianamente) l'illiceità delle informazioni/attività medesime. In altre parole, la norma pare negare il safe harbour, se il provider ha conoscenza diretta dell'illiceità delle informazioni ospitate (perché ad es. gli sono state portate a conoscenza dichiarazioni espresse o addirittura è compartecipe anche se magari defilato ) oppure se ce l'ha indiretta, quando l'oggetto della conoscenza è costituito da fatti altamente sintomatici dell'illiceità stessa . Ecco allora ristabilita la maggior gravità di intento soggettivo per la presunta responsabilità penale e minore per quella civile . In pratica la prima chiede un dolo per illecito di compartecipazione all'illecito dell'utente mentre per la seconda basta la mera negligenza/colpa .
Secondo altri la lett. a) disciplinerebbe solo la responsabilità civile e le sue due regole si riferirebbero l'una al dolo (consapevolezza dell'antigiuridicità) e l'altra alla colpa (consapevolezza dell'esistenza di materiali sospetti) .
La disposizione però non precisa alcunché e dunque pare preferibile ravvisarvi l'esenzione da responsabilità non solo civile. Anche se di fatto sarà quasi sempre quella penale, lascerei aperta la possibilità a qualunque altra responsabilità, ad es. amministrativa . Anzi l'intenderei nel modo più ampio e cioè come esenzione da qualunque conseguenza giuridica sfavorevole . Questo pare infatti l'approdo più sensato di una normativa sovranazionale, che ha voluto trovare un compromesso tra gli Stati membri su un attività (quella del provider) che costituiva un mezzo di assai più rapida diffusione, rispetto al passato, sia di materiali illeciti che di informazioni e idee lecite: e che dunque preannunciava potenzialità enormi. Pertanto, per proteggere questa industria nascente (quindi forse anche per competere adeguatamente con gli Stati Uniti), detto compromesso è stato trovato, da un lato, nell'individuare un'area, entro cui gli operatori avessero la certezza di essere esente da ogni conseguenza pregiudizievole, e, dall'altro, nell'esplicitare che non erano gravati da un dovere generale di controllo . Si è giustamente osservato che «il quadro normativo di riferimento considera dunque, in linea di principio, gli Isp come meri intermediari e come tali non sottoposti alla disciplina dettata dagli art. 15 e 21 Cost. per i fornitori di contenuti» .
Lo spirito dunque della disciplina posta dall'art. 16 c.1 sembra essere che l'esenzione c'è, fino a che il provider non sappia nulla (purché non sia colposamente ignorante: probabilmente l'illiceità manifesta va intesa come necessità di una colpa grave) oppure, qualora sappia, se ha subito rimosso/disabilitato. C'è però una discrepanza non piccola tra il testo comunitario e il testo nazionale (secondo problema interpretativo, sopra anticipato), la quale complica l'interpretazione.
La discrepanza sta nel fatto che mentre la lettera a) è quasi uguale , nella lettera B la norma nazionale inserisce il requisito della comunicazione da parte dell'autorità: «non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso».
La disposizione nazionale non è ben scritta e risulta di difficile interpretazione. Non è chiaro se la comunicazione delle autorità sia riferita alla conoscenza dei fatti (cioè come se fosse: "non appena a conoscenza di tali fatti per aver ricevuto comunicazione delle autorità competenti") oppure all'azione di rimozione o disabilitazione (come se fosse: "non appena a conoscenza di tali fatti, ed essendogli stato comunicata la necessità di rimozione da parte delle autorità competenti, agisca immediatamente "). Nel primo caso non dovrebbe però esserci la virgola tra il primo periodo il secondo della lettera b); nel secondo caso, più che comunicazione, dovrebbe essere stato usato il termine "richiesta" oppure "ordine". In ogni caso rispetto al testo europeo c'è un requisito in più, che è quello della necessità di un qualche intervento da parte dell'autorità . Come anticipato, questo requisito nemmeno è menzionato tra i criteri direttivi della delega, i quali riproponevano tale e quale la corrispondente norma della dir. . Visto che la delega è uguale alla direttiva e dunque non ci sono problemi di incompatibilità tra le due, non c'è il conseguente rischio di disapplicazione della prima da parte del giudice . Il problema è a valle ed è un problema di coerenza del decreto delegato con la legge delega. L'inserimento del requisito della comunicazione da parte dell'autorità costituisce una scostamento non irrilevante dalla delega : con la conseguenza che questa norma o questa porzione di norma parrebbe incostituzionale (v. infra) e ciò per entrambe le possibilità interpretative accennate.
Addirittura pare essere incongrua la disciplina delle due lettere a) e b), se lette disgiuntamente . Secondo la lett. a), il safe harbour c'è fino a che non sa, il che significa che, se sa, risponde civilmente: a meno che -va aggiunto- provveda a rimuovere i contenuti e/o disabilitare l'accesso. Questa limitazione è ovvia e va aggiunta dato che non si può dire che il provider non è esentato se sa e poi non permettergli di liberarsi dalla responsabilità facendo l'unica cosa che è in suo potere: il venire a conoscenza spesso non dipende da lui, per cui gli si deve dare la possibilità di liberarsene e lo può fare solo tramite rimozione/disabilitazione (ed entro tempi brevissimi). Secondo la lett. b) -a parte la difficoltà interpretativa sopra indicata-, l'invocabilità del safe harbour la si perde se, ricevuta la comunicazione o la richiesta dell'Autorità, non si provveda anche qui alla rimozione/disabilitazione. Ma allora la necessità della comunicazione autoritativa pare diventare inutile, dato che, anche se manca ma il provider pur sempre sa dell'illiceità, alla luce della lett . a) può mantenere il safe harbour solo se provvede subito a fare la stessa cosa (rimozione/disabilitazione). Questo presuppone un rapporto disgiuntivo tra lett. a) e lett. b). Si potrebbe opporre che tra le due lettere corresse invece un rapporto congiuntivo e cioè che dovessero operare assieme: ma allora diventerebbe inutile la lett. a), dato che, per quanto egli sappia, dovrebbe attendere l'ordine dell'Autorità per l'obbligo/onere di rimuovere.
In breve, salvo errore, se i due requisiti son letti come congiuntamente necessari, è inutile la lett. a); se son letti come disgiuntamente necessari, diventa superfluo l'ordine dell'Autorità di cui alla lett. b)
18. L'hosting provider può attendere fino al ricevimento di un ordine dell'autorità senza perdere il safe harbour?
Approfondiamo il punto. Come anticipato, qualche dottrina ha sostenuto la necessità di attendere l'ordine dell'Autorità, per non mettere il provider nello scomodo ruolo di arbitro della liceità dei materiali, con rischio per qualunque scelta faccia: se accogliere l'istanza del soggetto sedicente leso (col rischio di violare il contratto con l'utente uploader) o se rigettarla, esponendosi però al rischio di azione giudiziaria da parte del medesimo . La tesi si basa su un'esigenza molto seria ma, alla fine, non pare condivisibile.
Infatti la necessità di un ordine dell'Autorità è esclusa sia dalla legge delega sia dalla Direttiva: che sia esclusa, lo si ricava dal fatto che entrambe non lo menzionano per l'hosting provider , mentre, quando hanno voluto richiederlo, lo hanno fatto espressamente . La tesi qui sostenuta è seguita dalla giurisprudenza europea e dal noto precedente Trib. Napoli Nord 3 novembre 2016 .
Allora la disciplina nazionale, in sintesi (tenuto conto pure dell'art. 17 c. 2), potrebbe essere ricostruita così: - se il provider nulla sa, non risponde (art. 16 c.1 lett. a) ; ii) se sa, non è tenuto a rimuovere i contenuti e/o disabilitare l'accesso fino a che non gli giunga un'ordine dell'Aut. (art. 16 c. 1 lett. b); -se sa ed anche senza alcun ordine dell'Aut., deve informare l'Autorità stessa (art. 7 c.2 lett. a) ; - a prescindere dal fatto che sappia o no, deve fornire le informazioni in suo possesso per identificare l'utente quando ne venga richiesto dall'Autorità.
E' vero che come sopra anticipato, la norma (art. 16 c. 1 lett. b)) pare affetta da vizio di incostituzionalità, laddove attribuisce rilevanza solo alla comunicazione dell'autorità, visto che: i) né la norma UE né la delega nazionale lo prevedono (l'incostituzionalità è naturalmente prodotta dal mancato rispetto di quest'ultima) in quanto dalla prima è desumibile la rilevanza della conoscenza comunque acquisita e tale è l'interpretazione della C.G.; ii) l'aggiunta nazionale modifica sensibilmente la composizione tra interessi confliggenti, posta da tale regola europea. Però, fino a che non venga dichiarata l'incostituzionalità, la norma vige: da noi, infatti, il giudizio di costituzionalità non è decentrato, ma accentrato presso il Giudice delle leggi . Nemmeno pare possibile disapplicarla per difformità dalla direttiva, stante l'inapplicabilità diretta di quest'ultima nei rapporti tra privati : l'orientamento, nonostante qualche "sbandata", pare essere fermo , dato che vanificherebbe la distinzione tra direttiva e regolamenti, molto chiara nel diritto costituzionale europeo.
Si potrebbe osservare che la possibilità per l'hosting provider, di attendere l'ordine dell'Autorità senza perdere il safe harbour, si appoggiasse alla norma sulla responsabilità civile posta dalla legge delega: col che verrebbe meno l'errore attuativo della delega, sopra visto. Secondo l'art. 31 c.1 lett. l), infatti, la legge delegata avrebbe dovuto attenersi al seguente criterio direttivo: "prevedere che il prestatore di servizi è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha usato la dovuta diligenza;". Potrebbe infatti dirsi (forse) che, come il risarcimento del danno spetta solo dopo l'inottemperanza ad ordine dell'Autorità, così fino al medesimo momento nessun onere di rimozione/disabilitazione incombe sul provider: con la conseguenza, per cui egli potrebbe mantenere i file denunciati senza perdere il safe harbour. In altre parole il requisito della comunicazione dell'Autorità, previsto dall'art. 16 c.1 lett. b d. lgs. 70/2003, avrebbe base giuridica nella cit. norma della legge delega.
Tuttavia non pare che le cose stiano così. Da un lato, questa norma della legge delega è stata attuata da altra norma del d. lgs. 70/2003 e cioè dall'art. 17 c.3. Dall'altro, la norma stessa riguarda solo il risarcimento del danno e cioè la responsabilità risarcitoria, mentre sulla disciplina del safe harbour (l'esenzione da responsabilità) la delega è uguale alla dir. Quindi, sotto il profilo formale, rimarrebbe la distonia tra delega e legge delegata in tema di safe harbour. Si è infatti sopra tenuto distinto il profilo -negativo- dell'esenzione da responsabilità (safe harbour) da quello -positivo- dell'ascrizione di responsabilità.
Potrebbe però replicarsi che, pur vero ciò sotto il profilo formale, nella sostanza comminare la responsabilità solo dopo l'inottemperanza ad ordine dell'Autorità finisce per influenzare anche l'individuazione del momento a partir da quale decorre l'onere di procedere a rimozione/disabilitazione . Ciò potrebbe parere sensato, in termini di politica legislativa astratta. Però, data la vigente convivenza di due ordinamenti giuridici (europeo e nazionale) e dato che il primo si limita a regolare l'esenzione da responsabilità e non l'affermazione della stessa (una norma come l'art. 17 c.3 non esiste nella dir.), va accettato che il vincolo europeo concerna solo l'esenzione: ed allora la distinzione va mantenuta. Ne segue allora che il provider, se ottempera già alla diffida stragiudiziale, fruisce appieno del safe harbour e la cosa finisce li. Il problema invece sorge se egli sceglie di disattendere la diffida di parte e attendere l'ordine dell'Autorità per la rimozione/disabilitazione, basandosi: i) o sulla tesi interpretativa cumulativa dell'art. 16 c.1 lett. a-b; ii) oppure, anche nell'ottica della tesi disgiuntiva, sul fatto che alla peggio perderà sì il safe harbour -profilo negativo- , consapevole però che la principale misura a suo carico (risarcimento del danno) -profilo positivo- non potrà scattare, atteso che l'art. 17 c.3 è inequivoco nel prevedere che ciò avvenga solo dopo l'inottemperanza all'ordine dell'Autorità .
Se così è, però (e nell'ottica della tesi disgiuntiva ), può sorgere il dubbio che la disciplina risarcitoria ex art 17 c. 3 prima parte d. lgs. 70/2003 sia incompatibile con la direttiva stessa: precisamente col suo safe harbour che, come più volte detto, è riconosciuto solo se la rimozione/disabilitazione avviene subito dopo la diffida stragiudiziale . E' vero che il legislatore ben può arricchire quella europea, dato che come noto «la direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi.» (art. 288 c.2 Tratta. UE). Bisogna però che la legge nazionale sia compatibile con la piena attuazione della direttiva. Il dubbio sollevato va però probabilmente respinto, in quanto la cit. disposizione nazionale non osta alla piena applicazione di quella europea. Che lo Stato ricolleghi la (positiva) responsabilità per inottemperanza alla diffida stragiudiziale oppure all'ordine dell'Autorità, è indifferente per il comando europeo: a questo interessa solo che già dopo la richiesta di parte, se c'è pronta ottemperanza, operi il safe harbour. In altre parole, anche se la prassi sarà nel senso che i provider per lo più attenderanno l'ordine dell'Autorità per rimuovere o disabilitare, colui, che invece scegliesse di provvedervi sin dalla diffida stragiudiziale, fruirebbe in pieno del safe harbour: con piena attuazione della dir. .
19. Posizione di garanzia? Primo arbitro tra interessi in conflitto, da dirimere tramite congruo bilanciamento
Taluno parla di «posizione di garanzia» dell'internet provider , ma non pare opportuno, non corrispondendo all'usuale concetto di "posizione di garanzia". Quest'ultima, semmai, è propria dell'editore, non dell'intermediario digitale: la legge anzi vuol evitare proprio un simile status, rendendo l'internet provider responsabile solo quando sa "con ragionevole sicurezza" della presenza di materiali illeciti. Del resto parlare di garanzia per la situazione successiva all'ordine dell'autorità pare poco esatto, trattandosi solo di adempimento di un ordine ad hoc. La posizione di garanzia, come viene normalmente intesa, è ben più pregnante, essendo fonte di obblighi anche prima di ordini ad hoc dell'autorità e per il solo fatto di rivestire una certa carica connessa più o meno strettamente all'autore del fatto (come ad es. nella responsabilità dei "padroni" ex art. 2049 cc) . In sostanza, col concetto di "posizione di garanzia" si indicano i casi, in cui si risponde del fatto altrui o comunque quando il titolare è dotato di potere decisionale che permette di prevenire violazioni : mentre la responsabilità del provider per non aver ottemperato alla richiesta di rimozione (da chiunque provenga ) è responsabilità da fatto proprio. La disciplina complessivamente intesa, allora, pare all'opposto aver escluso per lui una responsabilità da posizione di garanzia ed averla invece ancorata solo alla propria omissione (omessa rimozione/disabilitazione).
Del resto il ruolo dell'internet provider di "primo arbitro" tra interessi confliggenti (utente uploader vs. terzo riguardato dalla informazione caricata) è inevitabilmente sempre più frequente, dato che le comunicazioni umane sempre più si spostano su internet (per non dire che, rispetto alle violazioni commesse, i casi poi portati in sede giudiziale saranno pochissimi e per i soliti motivi: incertezza giuridica, costi, disparità di posizione socioeconomica) . Si pensi al conflitto tra diritto alla riservatezza e diritto di cronaca. Vale la pena di riportare il passo pertinente in cui la C.G. ha così concluso, valorizzando il ruolo del motore di ricerca (Google): « - L'articolo 8, paragrafo 2, lettera e), della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore siffatto può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che includono dati personali rientranti nelle categorie particolari di cui all'articolo 8, paragrafo 1, ma il cui trattamento è incluso nell'eccezione di cui all'articolo 8, paragrafo 2, lettera e), sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell'articolo 14, primo comma, lettera a), della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare. - Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link ( ) deve - sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell'ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta - verificare, alla luce dei motivi di interesse pubblico rilevante di cui all'articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest'ultima disposizione, se l'inserimento di detto link nell'elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all'articolo 11 della Carta» . Compito non certo semplice per il provider , tenuto poi conto delle diverse tradizioni giuridiche nazionali , per il quale la moderazione umana è inevitabile .
Arbitro, naturalmente, non solo nell'an ma anche nel quomodo delle misure necessarie per rimediare: si v. la nota decisione C.G. 24.09.2019, C-507/17, Google c. Commission nationale de l'informatique et des libertés (CNIL) e molti intervenuti . Qui però le difficoltà per l'internet provider paiono essere superabili: la Corte pare infatti riferirsi al suo dovere di deindicizzare in modo geograficamente selettivo (UE/extraUE, in linea di massina) con modalità tali da evitare che la decisione sia aggirabile con stratagemmi tecnici. Addirittura Amazon, per gestire le allegazioni di violazioni brevettuali sul suo marketplace e non perdere venditori importanti, ha creato una propria procedura di notice and take down, sulla falsariga di quelle giudiziali (da qui il nomignolo "District of Amazon Federal Court"), che attualmente dovrebbe essere ancora allo stato sperimentale .
Sempre su questo tema è ancora intervenuta nel 2019 la C.G. dicendo che l'eventuale inibitoria si estende ai contenuti equivalenti a quelli accertati illeciti, anche se il giudice deve precisare i confini di tale equivalenza in modo da non costringere il provider a difficili decisioni sul punto . Si tratta di un tentativo della C.G. di semplificare la vita al provider, che deve decidere se il successivo caricamento riguarda materiali equivalenti o meno a quelli già dichiarati illeciti. La precisazione del giudice sarà naturalmente sempre poco soddisfacente: se troppo ristretta, è facilmente aggirabile; se troppo ampia, genererà molti dubbi nel provider e di conseguenza contenzioso in fase applicativa, con opposizioni all'esecuzione quando sia assistita da penali o astreintes .
Sul punto si vedano pure le recenti sezioni unite sul conflitto tra diritto di cronaca e diritto all'oblio (Cass, sez. un. 22.07.2019 n. 19.681). Secondo tale pronuncia, la ripubblicazione "a distanza di un lungo periodo di tempo" di una notizia soddisfa un interesse storiografico (cioè alla rievocazione) e non più di cronaca, sicchè va eseguita in forma anonima , dato che "il trascorrere del tempo modifica l'esito del bilanciamento" : a meno che "non sussista un rinnovato interesse pubblico ai fatti ovvero il protagonista abbia ricoperto o ricopra una funzione che lo renda pubblicamente noto" . Il § 9 si conclude con la precisazione: "la materia in esame di per sé sfugge ad una precisa catalogazione e richiede di volta in volta, invece, la paziente e sofferta valutazione dei giudici di merito".
Ebbene, inevitabilmente tale valutazione attenta incomberà, prima della lite, all'editore, ma potrà porsi anche per il provider: anche quest'ultimo dovrà farla, quando richiesto di rimuovere o disabilitare materiali in violazione del diritto all'oblio (anziché dei diritti soliti all'onore o reputazione o di proprietà intellettuale). E non si tratta di valutazione facile, dato che la SC così sintetizza gli orientamenti europei: «il bilanciamento tra l'interesse del singolo ad essere dimenticato e quello opposto della collettività a mantenere viva la memoria di fatti a suo tempo legittimamente divulgati presuppone un complesso giudizio nel quale assumono rilievo decisivo la notorietà dell'interessato, il suo coinvolgimento nella vita pubblica, il contributo ad un dibattito di interesse generale, l'oggetto della notizia, la forma della pubblicazione ed il tempo trascorso dal momento in cui i fatti si sono effettivamente verificati» (§ 7, in fine) . Si pensi solo alla valutazione: i) del quantum di tempo necessario per mutare la qualificazione da diritto di cronaca a diritto alla ricerca storiografica ; e/o ii) del quantum di rilevanza pubblica del soggetto; iii) del quantum di pubblicità dell'interesse pubblico alla diffusione . La dottrina ha approfondito il modo, con cui un provider europeo dovrebbe affrontare correttamente una richiesta di notice and take down basata sul diritto all'oblio, modo che dà bene l'idea della complessità della valutazione lasciata al provider. . Addirittura si dubita: -che nel diritto UE l'insegnamento, impartito dalla C.G. in Google Spain sul diritto all'oblio per i motori di ricerca, si applichi agli hosting providers e ai social ; - circa il modo con cui vada conciliato l'apparente conflitto tra disciplina sulla protezione dei dati e quella del safe harbour, alla luce delle disposizioni di reciproca salvezza (art. 2 § 4 reg. UE 2016/679; art. 1.5.b, dir. 2000/31) . A riprova della complessità del bilanciamento, sono arrivate le linee guida dell'European Data Protection Board per i motori di ricerca .
Che un bilanciamento tra così rilevanti interessi sia affidato ad un ente privato con fine lucrativo, quale è un internet provider, può sorprendere e preoccupare . Infatti queste imprese non hanno come obiettivo quello di rendere più sicure le comunicazioni on line oppure (quanto alla content moderation) quello di calibrare il bilanciamento tra la moderazione umana e quella algoritmica: piuttosto il loro scopo è «to hold and expand their dominion over networked information flows. They protect this position by, among other things, developing products that users cannot resist or acquiring rivals' emergent services and products to avoid any contraction of their market share. They also routinely rely on intellectual property law (such as patent and trade secrets laws), worker contracts (such as nondisclosure and noncompete agreements), and a wide assortment of other legal tools to preserve control over their internal decisionmaking processes. And, besides all of this, they also appeal to the variety of governments and jurisdictions around the world where their users reside, including authoritarian regimes with no compunction about imposing restrictions on political speech» . La content moderation dunque è un processo non statico, ma frutto di una negoziazione continua tra una pluralità di attori: policy teams, moderatori assoldati, user communities, governi, inserzionisti, mass media, civil society groups e esperti accademici. In pratica, è guidata da almeno "four sets of influencescorporate philosophy, regulatory compliance [a precetti mandatory o anche solo informal], profit maximization, and public outcry each of which affects what is possible, permissible, and visible on online platforms" .
Tuttavia la situazione non sembra allo stato evitabile, dato che, da un lato, le comunicazioni avvengono in misura preponderante tramite essi e, dall'altro, i provider sono nella miglior posizione tecnico-economica per prevenire o limitare i danni: per cui è ovvio che saranno i medesimi a procedere in prima battuta al bilanciamento predetto . Attribuir loro il dovere di intervento, dopo ponderazione degli opposti interessi nel singolo caso, appare allo stato giustificato o almeno non evitabile . Del resto la situazione non è nuova: non tanto diversa, infatti, sotto questo profilo (anche se assai più ridotta in termini quantitativi ed invece più estesa in termini di controllo dei contenuti ), era la situazione degli editori circa i contributi informativi ospitati. A meno di optare per soluzioni pubblico-dirigistiche (di natura vagamente espropriativa) delle relative attività di impresa, che dovrebbero però essere attentamente vagliate.
20. Inevitabilità del ruolo decisorio (e quindi censorio) su diritti soggettivi. Applicabilità dei diritti fondamentali anche verso enti privati come le piattaforme
In sintesi, allora nessuna stranezza se anche l'intermediario sia chiamato a fare valutazioni simili a quelle che le cit. sentenze demandano al giudice o all'editore. Come detto, la differenza rispetto all'editore è che il dovere (e/o onere) in tale senso sorge in capo al provider solo dopo che abbia "effettiva conoscenza" dei fatti: in pratica, dopo che sia stato avvisato dal titolare del diritto leso (anche se la notizia che fa scattare l'obbligo di rimozione/disabilitazione può arrivargli da qualunque fonte, direi). Il ruolo censorio delle grandi piattaforme (social network, soprattutto, ma pure motori di ricerca, mutatis mutandis) nel pubblico dibattito di idee, oggetto dei primi studi, è fonte di preoccupazione e dovrà essere ridimensionato oppure controllato, già giudizialmente prima che legislativamente: ad es. riconoscendole come luogo aperto al pubblico, in cui non si può impedire la libertà di riunione digitale o di parola, oppure come mass media la cui disciplina obbliga il gestore alla tutela del pluralismo , aggiornando la questione dell'applicabilità ai mezzi di informazione privati del dovere di garantire il c.d. pluralismo interno . La mancanza di alternative significative ai social media (o al motore di ricerca, mutatis mutandis), produce alcune conseguenze di rilievo, tra cui ad es.: i) legittima interventi governativi, senza rischio di censure per violazione del Primo Emendamento (basate sulle policies potenzialmente discriminatorie -per alcuni- delle piattaforme) ; ii) soprattutto, comporta che la libertà di espressione c'è solamente finche essi la tollerano. L'ordinamento dovrebbe fare un'eccezione alla state action doctrine o meglio estenderla, quando il potere privato diventa così grande da minacciare la libertà allo stesso modo in cui può farlo uno Stato (anche per la sua tutt'altro che nitida costruzione ): conclusione ineccepibile, se si pensa che le piattaforme «are becoming global arbiters of free speech» e che il divario, tra chi controlla le tecnologie e chi non vi ha accesso, diventerà incolmabile . Ovvero, gli interpreti dovrebbero interpretare evolutivamente il concetto, dato che l'assimilazione delle dominant platforms agli Stati nei loro requisiti costitutivi tradizionali, ha guadagnato crescenti consensi , tenuto conto che condizionano significativamente e unilateralmente la vita delle persone in settori importanti . E' insomma esatto che «[t]he more an owner, for his advantage, opens up his property for use by the public in general, the more do his rights become circumscribed by the statutory and constitutional rights of those who use it» ; pertanto è ora di chiedersi perché la violazioni «of the most basic values -speech, privacy and equality- should be tolerated just because the violator is a private enty rather than the government» .
La natura formalmente privata degli enti de quibus non osta a riconoscere che il rischio ora proviene non solo dagli Stati (o dalla mano pubblica), ma anche -anzi in certi casi, proprio come per la libertà di espressione, assai di più- da poteri privati. Ne segue che le guarentigie, faticosamente ottenute verso gli Stati quando lì stavano i rischi per le libertà personali, ora vanno riconosciute già de iure condito pure verso le piattaforme, nella misura in cui detti rischi ora derivano da loro . La valutazione, del se e da chi i diritti fondamentali siano lesi, va fatta in base al contesto storico-politico del momento in cui si pone la questione : si tratta infatti non di schemi astratti, buoni per tutte le stagioni, ma da applicare in base alle circostanze. Osservò William Beveridge (l'autore del celebre Rapporto Beveridge nel Regno Unito): «libertà non vuol dire soltanto essere al riparo dagli arbitrii governativi, ma vuol dire anche affrancamento dalla servitù economica derivante dall'indigenza, dalla miseria e da altri mali sociali; vuol dire libertà dai poteri arbitrari sotto qualsiasi aspetto. Un uomo che muore di fame non è libero; perché fino a che non si sa nutrito, egli non può avere altro pensiero che quello di soddisfare le sue necessità fisiche, e pertanto da uomo è ridotto in animale. Un uomo che non osa ribellarsi contro ciò che egli sente come un'ingiustizia inflittagli dal suo datore di lavoro o dal suo dirigente, per paura che questo lo condanni alla disoccupazione cronica, non è libero» .
La dottrina inizia a muoversi in questo senso , per cui è possibile un futuro adeguamento anche giurisprudenziale: possibile ma non probabile, dato che non mancano opinioni contrarie . In ambiente common law si discorre di digital due process oppure di information fiduciaries in relazione alle c.d. media companies (posizione quest'ultima ora convincentemente criticata, dato che, in presenza di frontale conflitto di interessi, è illogico e controproducente limitarsi a gravare le piattaforme di un vago legame fiduciario sulla falsariga di quello gravante su avvocati medici e notai ). Addirittura si osserva che l'approccio tradizionale, fondato sull'invocazione del Primo Emendamento come diritto assoluto e incomprimibile (posts as trumps, adattando l'espressione di Dworkin rights as trumps) è individualistico, limitante e superato, dovendo caratterizzarsi invece per la proportionality (bilanciamento sistematico tra interessi confliggenti) e la probability (considerazione del tasso di errori che la piattaforma può fare, entro certi limiti inevitabili e dunque da accettare) : anche se si tratta di posizione legata alla preminenza statunitense del diritto di parola (che forse sta dunque cambiando), da noi invece abbastanza pacifica, essendo agevolmente inquadrabile con il ricorso a principi o norme costituzionali, da un lato, e con la diligenza (tecnica), dall'altro. Infatti nel nostro ordinamento, visto che intercorre rapporto contrattuale tra l'utente e la piattaforma, già un buon passo sarebbe valorizzare la buona fede in executivis, opportunamente modulandola per tener conto dell'enorme disparità di potere contrattuale e cognitivo tra i contraenti, almeno quanto alla tutela individuale.
Il problema sorge proprio in relazione a quest'ultima circostanza, dato che la tutela individuale sarà assai raramente azionata in sede contenziosa. Si potrebbe anche pensare -alla luce ad es. del ruolo informativo fondamentale svolto dalle piattaforme in occasione della gravissima emergenza sanitaria, che ha colto il mondo intero all'inizio dell'anno 2020- ad una qualificazione come public utility (digitale), seppur de facto invece che de iure.
Qualche timido passo di consapevolezza è stato intrapreso a livello europeo modificando la disciplina dei servizi di media audiovisivi . Solo che le interessanti considerazioni astratte sul ruolo dei social media (cons. 4-5 della dir. 2018/1808) hanno poi portato alla scelta di normare solo le piattaforme di condivisione video , pur affermandosi che la libertà di espressione è «fondamento dei sistemi democratici» .
21. (segue): recenti provvedimenti giurisdizionali italiani sul tema
La tesi qui sostenuta è affermata da un provvedimento italiano cautelare del 2019, che ha ordinato a Facebook la riattivazione di una pagina illegittimamente disattivata. La motivazione richiederebbe maggior approfondimento, per cui mi limito a riportare il passo più pertinente al discorso qui svolto : «È infatti evidente il rilievo preminente assunto dal servizio di Facebook (o di altri social network ad esso collegati) con riferimento all'attuazione di principi cardine essenziali dell'ordinamento come quello del pluralismo dei partiti politici (49 Cost.), al punto che il soggetto che non è presente su Facebook è di fatto escluso (o fortemente limitato) dal dibattito politico italiano, come testimoniato dal fatto che la quasi totalità degli esponenti politici italiani quotidianamente affida alla propria pagina Facebook i messaggi politici e la diffusione delle idee del proprio movimento. Ne deriva che il rapporto tra Facebook e l'utente che intenda registrarsi al servizio (o con l'utente già abilitato al servizio come nel caso in esame) non è assimilabile al rapporto tra due soggetti privati qualsiasi in quanto una delle parti, appunto Facebook, ricopre una speciale posizione: tale speciale posizione comporta che Facebook, nella contrattazione con gli utenti, debba strettamente attenersi al rispetto dei principi costituzionali e ordinamentali finché non si dimostri (con accertamento da compiere attraverso una fase a cognizione piena) la loro violazione da parte dell'utente. Il rispetto dei principi costituzionali e ordinamentali costituisce per il soggetto Facebook ad un tempo condizione e limite nel rapporto con gli utenti che chiedano l'accesso al proprio servizio. Conseguentemente ai principi sopra esposti, l'esclusione dei ricorrenti da Facebook si pone in contrasto con il diritto al pluralismo di cui si è detto, eliminando o fortemente comprimendo la possibilità per l'Associazione ricorrente, attiva nel panorama politico italiano dal 2009, di esprimere i propri messaggi politici» . Il successivo reclamo cautelare ha confermato la decisione, affermando sul punto specifico l'applicabilità diretta dei precetti costituzionali nella disciplina del rapporto contrattuale : «In generale si deve ritenere preclusa all'autonomia privata la limitazione a carico di uno dei contraenti dell'esercizio di diritti costituzionalmente garantiti, attuata ricollegando al loro esercizio conseguenze negative sul piano contrattuale, tanto più in assenza di una giustificazione oggettiva nella funzione riconosciuta al contratto» (§ 8) e «Al contrario se la posizione del gestore è riconducibile alla libertà di impresa tutelata dall'art. 41 della Costituzione, quella dell'utente è riconducibile, di fronte a contestazioni relative alle opinioni espresse sulla piattaforma, alla libertà di manifestazione del pensiero protetta dall'art. 21 e, di fronte a contestazioni relative alla natura ed agli scopi dell'associazione, all'art. 18 e quindi a valori che nella gerarchia costituzionale si collocano sicuramente ad un livello superiore. Si deve concludere che la disciplina contrattuale non può lecitamente assumere quale causa di risoluzione del rapporto manifestazioni del pensiero protette dall'art. 21 né consentire l'esclusione di associazioni tutelate dall'art. 18» (§ 10). Non entro nel merito dell'appropriatezza del giudizio nel caso specifico; mi limito a segnalare la regola astratta, innovativa anche se bisognosa di qualche approfondimento . In senso contrario si è osservato che affermare estesi doveri di permettere l'accesso, presupporrebbe ritenere la piattaforma "servizio pubblico", in mancanza di norma in tale senso . L'obiezione è seria, solo che l'autore mi pare non consideri a sufficienza la via dell'applicazione diretta della tutela costituzionale della libertà di espressione: in particolare della sua applicazione ad un ambiente sì privato, ma che è diventato imprescindibile per la comunicazione pubblica. Per dare attuazione a detta tutela bisogna attendere norma ad hoc oppure si può pensare ad un'applicabilità immediata? Il punto è questo, più che quello dell'applicabilità pretoria della disciplina da presunto servizio pubblico. Il problema dell'applicabilità immediata dei principi costituzionali nei rapporti privatistici patrimoniali è ampiamente trattato: la risposta da dare è in generale negativa , a meno che ricorra la lesione di diritti fondamentali .
Ad analogo esito cautelare è giunta la Corte Costituzionale tedesca sempre in una lite tra un partito di destra e Facebook, al quale ha ordinato di riattivare il profilo: anche se il provvedimento pare motivato solo quanto al periculum in mora, stimato in base ad un bilanciamento dei contrapposti pericula .
In un caso simile e di poco seguente, il Tribunale romano è invece giunto a conclusione opposta: si tratta dell'ordinanza 23.02.2020 nel caso Forza Nuova (rectius: attivisti del movimento considerati uti singuli, parrebbe) c. Facebook . Il Tribunale ha approvato la chiusura dei loro account Facebook con ordinanza ricca di documentazione probatoria e di elencazione di materiali giuridici (nazionali ed internazionali) contrastanti le discriminazioni razziali e i discorsi d'odio . In particolare ha rigettato la domanda cautelare (ex art. 700 c.p.c.) sulla base di due argomenti, autonomi -parrebbe- l'uno dall'altro: le pattuizioni contrattuali tra i ricorrenti e Facebook, da un parte , e il dovere di questa di impedire condotte illecite , dall'altra. Qui interessa il secondo argomento.
Il dovere di impedimento risulterebbe fondato sull'art. 14 della dir. 2000/31 e sull'adesione di Facebook al Codice di Condotta 2016, promosso dalla Commissione UE . Il giudice parrebbe menzionare come fonti del dovere di rimozione anche le fonti interne e sovranazionali da lui elencate (v. pagg. citate dell'ord.): ma non è chiaro quali siano né se siano solo quelle europee sul safe harbour ex dir. 2000/31 ed anche (o invece) le altre citate nella parte iniziale dell'ordinanza. In ogni caso, quest'ultima affermazione è poco precisa, dato che: - nel primo caso (normativa europea) si tratta di safe harbour e cioè di esenzione, invece che di ascrizione di responsabilità, la quale è lasciata ai diritti nazionali (come si è già osservato in questo scritto); - nel secondo caso (altre norme), non ne risultano che impongano siffatto dovere ad enti che conducano un'attività come Facebook.
Passando al codice di condotta, l'ordinanza romana Forza Nuova c. Facebook lascia intravedere una questione teorica importante, relativa alla vincolatività giuridica degli impegni assunti in quella sede dalle piattaforme. Però non motiva sul punto, mentre invece avrebbe dovuto dimostrare quantomeno che: i) tali impegni di contrasto (e nelle precise modalità discusse in causa) sono presenti nel codice di condotta; ii) il codice stesso è fonte di situazioni giuridiche a favore (o a carico) di Facebook rilevanti per l'ordinamento italiano privatistico. Circa i), va però osservato che le piattaforme si riservarono di esaminare le denuncia alla luce delle loro policies: «le aziende informatiche la esaminano [la segnalazione] alla luce delle regole e degli orientamenti da esse predisposti per la comunità degli utenti» e, solo se necessario (intenderei: da esse ritenuto tale), pure alla luce «delle leggi nazionali di recepimento della decisione quadro 2008/913/GAI, affidando l'esame a squadre specializzate». Quindi le piattaforme non riconoscono alcun dovere di agire in base ad un diritto statuale o internazionale, ma solo in base alle loro policies: il che è privo di precettività giuridica, dato che dichiarare di agire secondo le proprie policies nulla aggiunge alle policies stesse. Circa ii), non trattandosi di fonte di diritto generale, l'impegno (anche fosse valido ed efficace) sarebbe fonte di situazioni giuridiche solo pattizie (sovrapponendosi dunque all'altro argomento del giudice): sarebbero forse qualcosa tipo una promessa unilaterale del nostro codice civile, solo che non prevede alcun creditore determinato. Quindi tale ipotetico dovere, da un lato, non può essere ex lege, dato che non ricorreva alcuna fonte ad hoc; dall'altro, nemmeno pattizio, dato che non risulta individuato alcun ordinamento che riconosca vincolatività a simili impegni né alcun creditore investito della correlata situazione giuridica attiva.
Il giudice avrebbe semmai dovuto argomentare sulla base degli artt. 2043-2055 c.c. (magari specificando i profili civilistici di eventuali reati), disposizioni che invece affermano la responsabilità: certamente un soggetto può (ed ha l'onere di) fare quanto in suo potere per evitare di cadere in illeciti civili o penali o comunque di soggiacere ad altri effetti per lui sfavorevoli.
Infine nega il ripristino del profilo personale, e della pagina tematica connessa, Trib. Siena 19.01.2020, n. 2968/2019 RGAC, ord. caut., accogliendo le ragioni di Facebook . Secondo questo giudice, né risulta una violazione contrattuale, "né la società resistente [Facebook] può seriamente essere paragonata ad un soggetto pubblico nel fornire un servizio, pur di indubbia rilevanza sociale e socialmente diffuso, comunque prettamente privatistico . Nè ciò può realmente rappresentare una lesione ai diritti fondamentali e inviolabili della persona, garantiti a livello costituzionale, ovvero di autodeterminarsi (art. 2 Cost.), di poter svolgere la propria attività politica in un contesto di uguaglianza e pari opportunità con gli altri esponenti di tutte le altre fazioni (art. 3 Cost.), di ambire (anche in forma professionale e remunerata) a cariche politico istituzionali (art 4, 49 e 51 Cost.), di manifestare liberamente il proprio pensiero (art 21 Cost.). Invero, trattasi di diritti, questi, certamente liberamente esercitabili in contesti diversi, pubblici e, comunque, idonei alla più ampia espressione della propria personalità nell'ambito di una leale competizione politica con la possibilità di condividere con gli appartenenti a quella certa corrente la propria ideologia". Poi, sul periculum in mora: "al ricorrente, invero, non è precluso né potrebbe esserlo come conseguenza dell'oscuramento del proprio profilo su Facebook, di adoperare altre piattaforme per la manifestazione, certamente libera ed ampia, del proprio pensiero". Il giudice senese disconosce l'essenzialità della piattaforma Facebook, ritenendola fungibile con altre modalità di comunicazione: fungibilità, però, che ad oggi non è dato rilevare nel panorama massmediatico.
22. Ancora sulla conoscenza richiesta dall'art. 16 c.1
La legge delega aveva diviso in due ipotesi quelle poi riunite dentro lettera a) art. 16 (art. 31 c. lett. f) della legge 39 del 2002). Da questa diversità redazionale, però, non paiono discendere conseguenze, dal momento che è sufficientemente chiaro anche all'interno del d. lgs. 70/2003 che si tratta di due ipotesi.
Si potrebbe pensare ad possibile problema interpretativo intorno al concetto di "appena a conoscenza": cioè intorno al tempo concesso al provider per procedere a rimuovere disabilitare senza uscire dal ombrello protettivo. In realtà va inteso nel senso che, una volta che si provi che era a conoscenza, il tempo a sua disposizione per provvedere è solo quello tecnico per un minimo di riflessione sulla fondatezza dell'istanza e poi procedere alla disabilitazione tecnologica, che a quel punto deve essere immediata . Quindi in pratica oltre i due/tre giorni non si può andare ed anzi si deve stare entro le ventiquattro ore per i contenuti manifestly unlawful e immediatamente -e cioè di regola nei sette giorni- per gli altri nella c.d. Netzwerkdurchsetzungsgesetz tedesca 01.09.2017 (entro un'ora, secondo la bozza di regolamento UE 2018 contro la diffusione online di contenuti terroristici ). Non rilevano le dimensioni, eventualmente enormi, del provider, che non possono andare a danno dei soggetti lesi dalla sua attività di hosting provider: è suo onere attrezzarsi per provvedere in tal senso con personale dedicato . In alternativa alla soluzione unica, si potrebbe forse distinguere il modello di business, da cui segue un diverso tipo di content moderation strategies, essendone ad es. state individuate tre: Artisanal (operanti su piccola scala, come Vimeo ed altri), Community-reliant (largamente basati su collaborazione volontaria, come Wikimedia e Reddit) e Industrial (come Facebook e Google) . In pratica, per le grandi piattaforme (tipicamente Youtube ), nonostante richieste ingenti o massive di rimozione/disabilitazione come possono fare i colossi mondiali dell'entertainment, il problema non si porrà: infatti le grandi piattaforme procederanno in via automatica, magari dopo aver ricevuto le richieste in formati standardizzati predisposti ad hoc , se non addirittura via estesa a tutto il flusso transitante su di esse (il che però può dirsi costituire censura preventiva/prior restraint per l'utente uploader ).
Più significativo invece è il problema della interpretazione del concetto di «effettivamente a conoscenza» e di «essere al corrente di», presenti nella prima delle due sotto ipotesi della lettera a) e, rispettivamente, nella lettera b). Il problema attiene al dettaglio di informazione che il titolare del diritto violato deve comunicare al provider: in particolare il punto circa la necessità o meno di comunicare anche la URL del file contenente il materiale illecito. Non si sottovaluti la questione, come si potrebbe fare ritenendo che in fondo non è così oneroso per il titolare comunicare la URL del file da lui individuato. Infatti non è così oneroso, se si tratta di uno o pochi file. Quando però si tratta di violazioni massive, potrebbe essere alquanto o molto fastidioso: anche perché - in mancanza di bottoni automatici di segnalazione nel browser (tipo quelli di "aggiungi ai preferiti") e cioè se si deve fare un copia/incolla della url- basta sbagliare un carattere per non poter più accedere al file medesimo (per non dire poi della tecnica talora utilizzata di caricare i file illeciti su server via via diversi, i cui nomi o numeri IP cambiano in continuazione, c.d. siti alias).
Dalla normativa europea sembra abbastanza chiaro che non sia richiesta l'indicazione della URL . Il riferimento alla conoscenza ("essere al corrente" dell'illiceità o di fatti sintomatici in tale senso), presente nella dir., induce a ritenere sufficiente che il provider abbia quei dati che gli bastano per individuare rapidamente lui stesso il file illecito: sì che, nel caso ad esempio di riproduzioni o comunicazioni di opere dell'ingegno audiovisive, basterà il titolo dell'opera. Anzi man mano che sarà chiaro cosa permettono i filtri oggi disponibili sul mercato, la cui adozione costituisce comportamento diligente e la cui mancata adozione costituisce comportamento negligente , si potrà precisare meglio quali sono le informazioni sufficienti, affinché il provider le inserisca in questi filtri; filtri che non servono solo per prevenire futuri caricamenti ma anche per individuare i file tra quelli già caricati .
Il problema potrebbe essere processuale, nel senso che il soggetto leso o -soprattutto- il CTU possono non conoscere esattamene i software (l'algoritmo) di gestione dei file, adoperato dalla piattaforma. La sufficienza dell'informazione fornita potrebbe venir giudicata in relazione a quest'ultima, ma la segretezza del software (gelosamente custodita) non permette di dire cosa la piattaforma può realmente fare: per cui potrà ad es. indurre a ritenere insufficiente una comunicazione, che invece in quel contesto aziendale era più che sufficiente per una velocissima individuazione e rimozione/disabilitazione.
Si potrebbe allora teoricamente distinguere tra casi, in cui il soggetto leso notificasse moltissime violazioni, da quello in cui ne notificasse una sola o poche (quante però?): per poi concludere che solo nel secondo caso fosse tenuto ad indicare la URL (favor per il soggetto leso, ad es. per evitargli il rischio di errori nella comunicazione). Si potrebbe però opporre che è proprio nel primo caso che il provider deve aver più precisa informazione: proprio perché la comunicazione concerne violazioni massive, senza le URL egli dovrebbe impiegare tempo e risorse significative (favor per il provider). Quest'ultimo, però, anche senza scomodare le responsabilità aquiliane oggettive, nella composizione degli interessi confliggenti, è un'onere che dovrebbe gravare sul provider, costituendo rischio tipico di impresa da lui governabile (ad es. predisponendo formulari online, che il soggetto leso ha l'onere di compilare, i cui dati egli possa trattare in automatico).
Anzi, visto che, dopo il ricevimento della comunicazione, la responsabilità diventa contrattuale (ex lege), si tratterà di determinazione della prestazione dovuta: la quale, alla fine e per la stessa ora esposta ragione, dovrà comprendere anche il farsi carico dell'individuazione e rimozione/disabilitazione dei -per quanto numerosi- file illeciti denunciati. La quantità dei file potrà avere rilevanza nella determinazione del profilo temporale, per provvedere in tale senso: quanto più numerosi, tanto maggiore sarà il tempo di cui potrà fruire . Ma, seppur con qualche dubbio, direi che non si possa onerare il soggetto leso di individuare e comunicare l'esatta URL di ogni file illecito: è sufficiente che il provider possa con facilità individuarlo . Ciò naturalmente a meno che meno che vigano norme in senso contrario, che però nel diritto UE e nazionale mancano. Lo stesso § 512.c.3.A del 17 US Code, pur assai più dettagliato, si limita ad onerare il soggetto leso di inserire nella comunicazione la «(ii) Identification of the copyrighted work claimed to have been infringed, or, if multiple copyrighted works at a single online site are covered by a single notification, a representative list of such works at that site. (iii) Identification of the material that is claimed to be infringing or to be the subject of infringing activity and that is to be removed or access to which is to be disabled, and information reasonably sufficient to permit the service provider to locate the material..» . Il criterio di ragionevolezza nelle indicazioni per localizzare il file è utilizzabile pure da noi: discende dalla regola di buona fede o correttezza (nella fase precontrattuale o di esecuzione di contratto, a seconda di come si qualifichi la fattispecie) oppure da quella di non colpa (se si opti per la qualificazione aquiliana come concorso creditorio ex artt. 1226-2056 cc).
E se la Direttiva non richiede la indicazione della URL, c'è da pensare che un eventuale richiesta in tal senso della normativa nazionale sarebbe in contrasto con la stessa. Il fatto, però, è che nemmeno nella normativa nazionale vi sono elementi per pensare che sia necessario indicare la url. La Corte di Cassazione ha affrontato la questione nell'altra causa parallela, sempre nella vertenza RTI c. Yahoo, con la sentenza 19 marzo 2019 n. 7708 (§ 5.8). Ha concluso in una direzione simile a quanto indicato e cioè che sono i profili tecnico-informatici decisivi per stabilire, se la mera indicazione del nome della trasmissione è sufficiente oppure se serva la url del file (e ciò all'epoca dei fatti sub iudice, potendo la tecnica mutare). Secondo la S. C. si tratta di un profilo di merito che presuppone un ineludibile accertamento in fatto. Quest'ultimo punto, però, è di dubbia esattezza, poiché il giudizio di fatto riguarda la disponibilità di questo o quel dispositivo tecnico sul mercato e a quali condizioni; costituisce invece giudizio di diritto -precisamente di applicazione del canone diligenza/negligenza- accertare se il provider era tenuto meno ad adottarlo e quindi se aveva o meno l'onere di indicarlo al soggetto leso . Quanto alla necessità di indicare l'url da parte del soggetto leso (ma in verità da parte di chiunque), la giurisprudenza è divisa e diversi autori l'affermano .
Non costituisce argomento in senso contrario, alla non necessità di indicazione dell'url, il divieto di doveri di monitoraggio generale, come taluno ha addotto . Riguardo alle violazioni di copyright, ad es., l'indicazione di alcuni dati, come il nome dell'opera violata e del soggetto che risulta uploader (o del sito che ospita), dovrebbe impedire che la successiva condotta del provider rientrasse nel concetto di cui all'art. 16 d. lgs. 70/2003 .
23. Una ricostruzione della disciplina posta dall' art 16 c.1
Un a. ha proposto un articolata interpretazione del c. 1 dell'art. 16 , che, se ben comprendo, dovrebbe essere così riassumibile. La disciplina è divisa in due fattispecie principali: la prima costituita dalla lettera a) (prima parte: " a condizione che detto prestatore: a) non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita ( )") e dalla lett. b) dell'articolo 16; la seconda fattispecie, invece, costituita dall'articolo 16 lett. a) seconda parte, relativa al risarcimento ("a condizione che detto prestatore: a) ( ) per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione"). Nel primo caso si disciplinano i rimedi non risarcitori, nel secondo quello risarcitorio. Quanto alla prima fattispecie, la condizione di conoscenza comunque acquisita (si badi: in qualunque modo acquisita) impone all'hosting provider di adottare le regole di perizia professionale e cioè adottare le misure necessarie alla cooperazione per verificare il contrasto degli illeciti commessi, come proverebbero pure il cons. 46 (sul dovere di immediata rimozione/disabilitazione appena il provider abbia consapevolezza dell'illiceità) e il cons. 48 (sulla pretendibilità di una condotta diligenza del provider) della dir. Ed allora afferma questo a.: i) se si tratta di conoscenza semplice -cioè "contezza della possibile natura illecita della comunicazione o dell'utilizzo delle informazioni memorizzate"-, l'obbligo di cooperazione si concretizza nel dovere di segnalare all'autorità giudiziaria o amministrativa l'ipotesi di illecito e offrire gli elementi utili per risalire all'identità dell'autore della violazione; ii) se invece c'è un positivo accertamento giudiziale o amministrativo, sorge per l'intermediario l'obbligo di provvedere subito a rimuovere o disabilitare: se non provvede così, è responsabile dei danni prodotti dalla protrazione della violazione per concorso di cause ex articolo 1227 comma 1 ed in via solidale ex. art. 2055. Quanto alla seconda fattispecie (rimedio risarcitorio), questa ricorre quando l'illiceità è manifesta (anziché solo presunta): anche in tale caso il provider deve adottare regole di perizia professionale, che però non si limiteranno al dovere di segnalare e cooperare: imporranno piuttosto la rimozione dei contenuti e la disabilitazione dell'accesso, altrimenti dovendosi ravvisare alla responsabilità in concorso con l'autore della violazione in misura che potrebbe essere anche paritaria. Solo così si recupera la conformità alla dir.
Sull'articolata proposta sono possibili alcune osservazioni:
i) la conoscenza dell'illiceità della prima parte dell'art. 16 c. 1 lett. a) non è meno sicura di quella della sua seconda parte, anzi forse lo è di più: "effettivamente a conoscenza del fatto che l'attività è illecita" vs. "fatti che rendano manifesta l'illiceità". Cambia invece l'oggetto della conoscenza: la prima è la conoscenza effettiva e diretta della illiceità dei file, la seconda solo induttiva (indiretta), in quanto basata su fatti che dovrebbero indurre con facilità alla stessa convinzione. Come detto sopra, la logica appare chiara: il provider perde il safe harbour se sa effettivamente della illiceità o se avrebbe dovuto saperlo in base a fatti assai probanti. Questo secondo livello di consapevolezza è abbassato rispetto al primo, forse perché per le azioni risarcitorie sono meno invasive di altre (penali, misure detentiva; o amministrative, sospensioni o chiusura di attività, etc.), per cui la composizione del conflitto di interessi si sposta a favore del soggetto leso. E' dunque antiletterale sostenere che la conoscenza della prima parte della lett.a) sia meno certa di quella della seconda parte, essendo una "contezza della possibile natura illecita della comunicazione" ovvero "mera conoscenza di una presunta attività illecita" : il dettato ("a condizione che non sia effettivamente a conoscenza"), invece, si riferisce ad una conoscenza effettiva e dunque dice l'opposto;
ii) affermare che solo nel caso del risarcimento del danno (fatti denotanti una illiceità manifesta) sia doverosa la rimozione/disabilitazione anche senza ordine dell'autorità, contrasta col dato testuale: la lett. b) infatti, fonte di tale dovere, comunque la si interpreti, è riferita ad entrambi i casi della lett. a). Quindi il giudice non può disapplicarla in uno dei due casi ed applicarla solo all'altro;
iii) inoltre è da vedere se la difformità dalla dir. (laddove si pretende l'ordine dell'autorità per la rimozione/disabilitazione: difformità innegabile), una voltata tentata inutilmente l'interpretazione ad essa conforme, si possa risolvere con disapplicazione -come se si trattasse di contrasto con norma UE direttamente applicabile- oppure se debba passare (come parrebbe) per la dichiarazione di incostituzionalità della legge delega o del decreto delegato;
iv.i) non si può limitare l'obbligo di segnalazione al caso di conoscenza minore ex lett. a), prima parte. Intanto è posto dall'art. 17, e non dall'art. 16, e l'art. 17 si applica a tutti i tipi di provider e in qualunque circostanza si vengano a trovare. iv.2) se poi lo si ricava non dall'art. 17 ma dalla diligenza/perizia professionale (cons. 48 dir.), pure questa opera non solo quando i fatti manifestamente facciano propendere per l'illiceità, ma anche quando il provider abbia comunque effettiva conoscenza dell'illiceità stessa (art. 16.1 lett. a, prima parte): e cioè pure per il caso di conoscenza semplice. In altre parole, la presunta diligenza/perizia professionale, circa il dovere di segnalazione, non permette di distinguere tra i due tipi di conoscenza emergenti dalla lett. a);
v) è assai dubbio che sia la diligenza professionale a portare all'obbligo di segnalazione all'autorità. Essa porterà semmai ad adottare congrui filtri, non alla denuncia alla autorità: quest'ultima costituisce un dovere civico, che può diventare giuridico solo se una norma espressamente lo preveda (art. 23 Cost.). Non pare avere molto a che fare con la diligenza professionale, la quale riguarda o la modalità esecutiva della prestazione (responsabilità contrattuale) o la cautela nelle proprie azioni per non procurare danni a terzi (responsabilità aquiliana).
vi) non è chiaro (almeno a me) poi il riferimento al concorso di cause ex art. 1227 c. 1, qualora non provveda tempestivamente alla rimozione/disabilitazione. Questa norma regola il concorso di condotta tra danneggiante e danneggiato, mentre qui si parla di concorso tra utente uploader e provider nella causazione del danno al soggetto leso: di quest'ultimo nel passaggio in esame non si menziona alcuna condotta concorsuale, che sarebbe invero difficilmente immaginabile.
vii) riferire il cons. 46 solo alla prima parte della lett. a) (rimedi non risarcitori), per sostenere il dovere di cooperazione con segnalazione all'autorità, come pare fare la dottrina in esame, non parrebbe giustificato per due motivi: da un lato, il cons. parla di rimozione/disabilitazione e non di cooperazione/segnalazione; dall'altro, si limita ad anticipare l'art. 16 lett.b) e dunque si applica a qualunque caso, in cui abbia notizia della illiceità, senza distinzioni qualitative all'interno di tale concetto (in particolare, senza possibilità di distinguere tra le due sottofattispecie presenti nell'art. 16 lett. a).
24. L'art. 16 c. 2
Secondo il comma 2, uguale nei due testi (nazionale ed europeo), non si applica l'esenzione se l'utente agisce sotto l'autorità o il controllo del provider. Il che non è sorprendente e non serviva norma che lo precisasse: tutto il meccanismo del safe harbour per il provider si basa sulla sua neutralità rispetto ai contenuti, per cui è ovvio che sia fruibile quando l'utente (l'uploader del materiale illecito) addirittura agisca sotto l'autorità o il controllo del prestatore. Non solo in tali casi non è dato safe harbour, ma molto probabilmente opererà la responsabilità dei padroni e committenti ex artt. 2049 cc : la quale, come noto, comporta responsabilità solidale ex art. 2055 di entrambi i titolari del rapporto collaborativo .
Andrebbe piuttosto approfondito il concetto di "autorità" e di "controllo". Il primo sembra ricorrere nei contratti tipo quello di lavoro subordinato, mentre escluderei il contratto di lavoro autonomo come l'appalto, tranne che l'appaltatore sia nudus minister. Il concetto di "controllo" è più nebuloso e quindi potenzialmente più ampio: c'è però una relazione stretta e quasi biunivoca tra i due concetti. Infatti se si ha autorità su una persona, si ha pure possibilità di controllarla: in mancanza, l'autorità sarebbe solo declamata ma inesistente nei fatti. Reciprocamente, chi controlla una persona (nel senso di potere influire unilateralmente sulle sue scelte, almeno in parte qua) può ben dirsi abbia autorità sulla stessa.
L'applicazione può presentare difficoltà. Ci si può ad es. domandare se ricorra il controllo del provider, quando questi si riservi la facoltà contrattuale verso l'utente di controllare e rimuovere il materiale caricato e di farlo a sua discrezione o magari -in maniera più ristretta- ogni volta che giunga un reclamo da parte di terzi . Ed in effetti qualche decisione lascia intravedere un ragionamento di questo tipo. La risposta non è facile: alla fine, però, come sopra accennato circa l'analoga prescrizione contenuta nel cons. 42, il concetto di controllo pare alludere ad un controllo regolarmente esercitato nei fatti e non semplicemente riservato in via pattizia. In altre parole il controllo deve essere in atto, non solo in potenza..
Si pensi al caso della fotografa statunitense, che ha spiacevolmente scoperto -in sede giudiziale- che un sito giornalistico aveva divulgato una fotografia presente nel suo account Instragram e che lo aveva fatto lecitamente (dopo aver invano tentato di essere autorizzato in via negoziale). ciò perché gli utenti di Instagram da un lato trasferiscono a questo i diritti sui materiali caricati e dall'altro l'autorizzano a darli in licenza a terzi, solo che usino la sua API-Application Programming Interface . Ebbene, questo non integra il requisito dell'autorità né del controllo da parte di Instagram: per cui, se il materiale caricato dalla fotografa fosse stato illecito, Instagram non avrebbe perso il diritto al safe harbour.
Per quanto tutti i grandi provider si riservino a questa facoltà, probabilmente poi nei fatti non controllano alcunché: a meno che ciò venga in via automatica tramite i filtri oppure dopo denuncia di illecito. Ma il concetto di controllo qui richiamato non è quello operabile tramite i filtri, bensì quello realmente praticato (e, probabilmente, da un umano, non da software), da un lato, e con vincolatività giuridica dall'altro. Autorità e/o controllo ricorrono ad es. nel caso di articoli giornalistici di un giornale cartaceo, che venga riprodotto on line dalla società editrice : si tratta infatti di responsabilità editoriale, nel qual caso appunto l'editore non può certo invocare il safe harbour (anche se mancasse normativa ad hoc). In altre parole bisogna che l'autorità o il controllo venga normalmente esercitato ed in toto, non solo circa le policy aziendali della piattaforma, in modo che la condotta possa dirsi riconducibile alla piattaforma, anziché all'utente.
Si veda quanto osserva il giudice Stanton nell'ultimo provvedimento giudiziale (del 2013) nella lite Viacom c. Google-Youtube: «The only evidence that YouTube may have steered viewers toward infringing videos is as follows: YouTube employees regularly selected clips to feature "with conspicuous positioning on its homepage" (RSUF 331), and on two occasions chose to highlight a clip-in-suit. YouTube asserts, without contradiction, that the creators of the work contained ln the first clip-in-suit, "the premiere of Amp' d Mobile's Internet show 'Lil' Bush,'" made the clip available on YouTube, and thatYouTube featured the second clip-in-suit, "a promotional video from comedy group Human Giant entitled "Illuminators!,"' on its homepage at the request of Human Giant's agent (id. 332). No reasonable jury could conclude from that evidence that YouTube participated in its users' infringing activity by exercising its editorial control over the site.Thus, during the period relevant to this litigation, the record establishes that YouTube influenced its users by exercising its right not to monitor its service for infringements, by enforcing basic rules regarding content (such as limitations on violent, sexual or hate material), by facilitating access to all user-stored material regardless (and without actual or construct knowledge) of it was infringing, and by monitoring its site for some infinging material and assist some content owners in their efforts to do the same. There is no evidence that YouTube induced its users to submit infringing videos, provided users with detailed instructions about what content to upload or edited their content, prescreened submissions for quality, steered users to infringing videos, or otherwise interacted with infringing users to a point where it might be said to participated in their infringing activity» .
Un recente provvedimento d'appello statunitense ha esaminato se il newsfeed di Facebook lo costituisca content provider ex art. § 230(f)(3) CDA, tale essendo la «entity that is responsible, in whole or in part, for the creation or development of information provided». In tale caso infatti non si applicherebbe il safe harbour del Buon Samaritano di cui alla precedente lettera (c)(1) . Secondo la Corte, Facebook non può essere ritenuto content provider e in particolare non è il developer della informazione (come invece l'allegazione attorea ): «the term "development" in Section 230(f)(3) is undefined. However, consistent with broadly construing "publisher" under Section230(c)(1), we have recognized that a defendant will not be considered to have developed third?party content unless the defendant directly and "materially" contributed to what made the content itself "unlawful.". ( ) This "material contribution" test, as the Ninth Circuit has described it, "draw[s] the line at the 'crucial distinction between, on the one hand, taking actions... to... display actionable content and, on the other hand, responsibility for what makes the displayed content [itself] illegal or actionable.'"» . Infatti gli algoritmi di Facebook sono "content neutral", dato che si limitano al matching tra utenti, prescindendo dai contenuti, i quali rimangono inalterati . Né l'esito cambia per il fatto che rendono l'informazione più visible, available and usable, costituendo ciò normale attività editoriale (che, come si è detto in nota, è il presupposto per applicare il safe harbour statunitense).
Analogamente in Daniel c. Armslist era stato chiesto di condannare Armslist.com, un sito bacheca per la compravendita di armi, perché il suo website era stato costruito per eludere la normativa vigente in materia e dunque doveva essere ritenuto corresponsabile dell'omicidio plurimo compiuto tramite armi così acquistate (presso un terzo venditore privato). La Corte Suprema del Wisconsin, però, pur dando atto che il safe harbour è opponibile solo a chi fa valere una responsabilità editoriale, interpretò la domanda giudiziale non come responsabilità da negligenza/violazione del duty of care, bensì appunto come responsabilità da "publisher o speaker" di informazioni di terzi e concesse dunque ad Armslist.com il safe harbour . Per la Corte, il sito costituiva infatti un neutral tool, suscettibile pure di usi leciti, per cui il suo titolare non può dirsi creator o developer dell'informazione illecita e dannosa (annuncio di vendita armi), per cui era causa . La sentenza è poi interessante perché chiarisce in modo deciso che il § 230 CDA, non richiedendo la buona fede, si applica a prescindere dallo stato soggettivo, per cui cade ogni possibilità di negarlo a causa del ruolo agevolativo nel compimento del reato : posizione però incompatibile con la disciplina europea, in cui l'elemento soggettivo svolge un ruolo centrale.
In un caso simile (M.L. v. Craiglist inc.), invece, l'esito è stato opposto: l'avere Craiglist, con l'architettura del suo sito web, facilitato in vario modo annunci di attività illecite da parte di terzi e ai danni di minore, lo rende content provider e dunque non legittimato al safe harbour ex § 230 CDA (tale invece non è il mero fatto della omessa rimozione, che vi rientra) .
25. L'art. 16 c. 3
Il terzo comma, quasi un copia-incolla nel paragrafo 3 della direttiva, prevede che l'autorita' possa esigere dal provider che faccia cessare o che impedisca le violazioni: si è già anticipata qualche riflessione circa l'analoga disposizione contenuta nell'art. 15 c.2. La norma nazionale aggiunge a quella europea che ciò può avvenire anche in via d'urgenza: il che è però superfluo dal momento che, se si ammette l'inibitoria concessa in via definitiva, certamente è ammissibile anche in via d'urgenza. La norma poi è probabilmente superflua anche perché non è autosufficiente, dato che richiede una norma nella sede specifica, che preveda tale potere inibitorio: anche senza la norma de qua, le norme, di cui a tali sedi specifiche, avrebbero continuato a potere operare come prima (non si sarebbe potuto infatti dedurre il contrario dall'istituzione di uno safe harbour del c. 1) . In altre parole poteva essere omessa, dato che nelle sedi specifiche già è contemplato a sufficienza il potere inibitorio e che nei casi, in cui non ci sia norma specifica (problema della inibitoria atipica), non è certo questa la norma che permette di sciogliere il dubbio in senso positivo. Sarà probabilmente stata inserita solo in ossequio al dettato europeo e per mero scrupolo.
Dal dettato si capisce che può trattarsi di una tutela in cessazione, come anche di una tutela preventiva, cioè volta a prevenire future violazioni. Qui il problema principale consiste nel capire quando l'inibitoria è troppo estesa, al punto da costituire quasi un obbligo generale di sorveglianza o di ricerca, vietato dall'articolo 17.
26. L'art. 17 c. 1: la non assoggettabilità ad obbligo generale di sorveglianza o ricerca
L'articolo 17 c. 1 è importante perché pone un principio generale: il provider delle tre tipologie indicate (che possa fruire o meno del safe harbour è irrilevante) non può essere gravato da un obbligo generale di sorveglianza delle informazioni da lui trattate e nemmeno da un obbligo generale di ricerca attiva di fatti che indichino attività illecite . Questa disposizione trova applicazione soprattutto ex post e cioè per le inibitorie che i giudici emanano dopo aver accertato la violazione. L'inibitoria di violazioni future e quindi, dal punto di vista del provider, di caricamenti o permanenze di materiali illeciti futuri, infatti, comporta l'adozione di condotte preventive, che potrebbero richiamare il concetto di sorveglianza o ricerca generale.
Teoricamente il divieto di monitoraggio generale, stando al tenore della disposizione, opera anche ex ante: esclude cioè che la diligenza (non culpa), necessaria per evitare un giudizio di inadempimento o di condotta illecita, possa consistere appunto in un simile monitoraggio. Solo che in tale caso -e limitando il discorso al hosting provider- opera il safe harbour dell'art. 16, per cui lo spazio precettivo dell'art. 17 è in tale caso assai limitato . Però non è inutile, in quanto chiarisce al di là di ogni dubbio che la conoscenza menzionata nell'art. 16 c.1 non è quella che può derivare da un monitoraggio generale: e dunque che la mancata esecuzione di questo non può essere qualificato come conoscenza presunta tale da far perdere il diritto al safe harbour.
Il concetto di sorveglianza/ricerca generale è alquanto vago e qui va criticato il legislatore europeo (meno quello italiano, il quale si sarebbe avventurato in acque perigliose se avesse scelto di precisarlo). Si può andare da un minimo ad un massimo di dovere di sorveglianza/ricerca: ad esempio può concernere qualunque violazione da qualunque fonte e di qualunque diritto oppure può limitarsi alle semplici violazione del diritto d'autore su una certa opera dell'ingegno e provenienti da una determinata fonte sostanziale o magari addirittura solamente da un certo server (numero IP). Se intesa nel senso più ampio, non ci sarà probabilmente alcuna inibitoria che la violerà: in causa il soggetto leso chiederà infatti il monitoraggio completo ma solo sui file che costituiscano violazione della propria opera portata sub iudice. Però un significato così ampio non è sensato attribuirlo alla normativa, dal momento che nessuno può pensare che gravi sul provider un dovere di vigilanza su tutto.
Il problema si porrà magari in relazione alla latitudine dell'inibitoria circa una violazione su una specifica opera dell'ingegno: è qui che ci si chiede quando ricorra l'obbligo generale di sorveglianza o ricerca. Per quanto si restringa la portata del concetto de quo, potrebbe ritenersi che non lo violasse l'inibitoria per la prevenzione della violazione di una sola opera protetta, anche se da qualunque fonte provenga: si tratterebbe infatti di applicazione della regola di liceità della sorveglianza quando ricorrono "casi specifici" (cons. 47) .
In senso contrario potrebbe però dirsi che l'obbligo generale di sorveglianza o ricerca, vietato ex art. 17 c. 1 d. lgs. 70, fosse quello emergente da una lite determinata, il che presuppone l'allegazione di una specifica (o anche più, ma determinate) violazione e cioè di diritti ben individuati: una specifica opera dell'ingegno, uno specifico diritto di marchio, uno specifico fatto diffamante o lesivo della riservatezza, causato da una specifica fonte. Un divieto generale ed astratto costituirebbe in pratica quasi norma di legge, mentre il comando giudiziale è sempre relativo ad una specifica lite. Pertanto, dovendosi riferire il divieto di obbligo generale di sorveglianza o ricerca ex art. 17 c. 1 d. lgs. 70 ad una specifica lite, potrebbe sostenersene un'interpretazione nel senso che il dovere di monitoraggio, anche se riferito ad una specifica violazione (uno specifico diritto d'autore, uno specifico fatto diffamatorio), non può riguardare tutti i file presenti e futuri sui server del provider.
27. (segue:) la sentenza Scarlet. Rilevanza dello stato della tecnologia
Questo è sostanzialmente l'esito di C.G. 24.11.2011, C-70/10, Scarlet Extend c. SABAM, secondo cui: la dir. 31/2000 oltre a dir. 2001729 e dir. 2004 /48 e a quella sulla tutela della riservatezza «ostano ad un'ingiunzione rivolta ad un fornitore di accesso ad Internet di predisporre un sistema di filtraggio: - di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare mediante programmi «peer-to-peer»; - che si applica indistintamente a tutta la sua clientela; - a titolo preventivo; - a sue spese esclusive, e - senza limiti nel tempo, idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti un'opera musicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantare diritti di proprietà intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi il diritto d'autore». Infatti una simile ingiunzione «obbligherebbe il fornitore a prestare una sorveglianza attiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti di proprietà intellettuale, costringendolo in tal modo ad effettuare una sorveglianza generalizzata, che è vietata dall'art. 15, n. 1, della direttiva 2000/31. Essa comporterebbe inoltre una grave violazione della libertà di impresa del fornitore di cui trattasi, poiché l'obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a suo carico, il che risulterebbe peraltro contrario alle condizioni stabilite dall'art. 3, n. 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose. Pertanto, siffatta ingiunzione non rispetterebbe l'esigenza di garantire un giusto equilibrio tra, da un lato, la tutela del diritto di proprietà intellettuale, di cui godono i titolari dei diritti d'autore, e, dall'altro, quella della libertà d'impresa, appannaggio di operatori come i fornitori di accesso a Internet. Gli effetti di detta ingiunzione, tra l'altro, non si limiterebbero a colpire tali fornitori, poiché il sistema di filtraggio è idoneo a ledere anche i diritti fondamentali dei clienti, ossia il loro diritto alla tutela dei dati personali e la loro libertà di ricevere o di comunicare informazioni, diritti, questi ultimi, tutelati dagli artt. 8 e 11 della Carta dei diritti fondamentali dell'Unione europea. Da un lato, l'ingiunzione implicherebbe un'analisi sistematica di tutti i contenuti, nonché la raccolta e l'identificazione degli indirizzi IP degli utenti all'origine dell'invio dei contenuti illeciti sulla rete, indirizzi che costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso i suddetti utenti. Dall'altro, rischierebbe di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed un contenuto illecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito» .
La soluzione del problema dipende prevalentemente dallo stato di avanzamento della tecnologia (il che comprende pure il profilo degli errori, inevitabili allo stato attuale, anche se non è chiaro in che misura lo siano ). La disposizione mirava infatti a non caricare di doveri eccessivi questa attività, allo stato allora nascente, ritenuta assai importante: si intuiva infatti che le attività economiche si sarebbero svolte sempre più on line. Ora il giudizio di tollerabilità del dovere di prevenzione dipende dai mezzi a disposizione: più sono disponibili ed efficaci i mezzi (filtri), più estesa può diventare l'attività di sorveglianza esigibile. Si dovrebbero dunque considerare i mezzi disponibili astrattamente e concretamente in un certo momento storico: astrattamente, nel senso di soluzioni disponibili sul mercato (non quelle ancora allo stato di ricerca o prima sperimentazione); concretamente, nel senso di pretendibili in base al loro costo rapportato alle dimensioni dell'impresa di internet providing (tale duplice articolazione costituisce il giudizio di diligenza, sia contrattuale sia -in negativo cioè come non culpa- aquiliana) . Verosimilmente questo aspetto non era presente al legislatore europeo del 2000, il quale non conosceva i filtri automatici in base a parametri impostati e continuamente modificabili. Tuttavia, da un lato, il giudizio di illiceità è spesso gravato da un'insopprimibile area di soggettività e, dall'altro, i software di filtraggio spesso sbagliano, come detto (da vedere se nel senso sia di falsi positivi che di falsi negativi). Resta fermo, però, che il giudizio sull'inammissibile genericità/ammissibile specificità del controllo pretendibile dipende largamente dalla tecnologia a disposizione .
28. Una recente opinione dell'A.G. presso la C.G. in causa c-18/18, Eva Glawischnig-Piesczek c. Facebook Ireland limited
E' stato osservato che, senza il divieto ex art. 15 dir. 2000/31 (letteralmente: se uno Stato membro potesse imporre un obbligo generale di sorveglianza) , l'host provider: 1) potrebbe perdere l'immunità di prestatore intermediario, poiché non sarebbe più neutro. Infatti non conserverebbe il suo carattere tecnico, automatico e passivo, il che implicherebbe che detto host provider sarebbe al corrente delle informazioni memorizzate ed eserciterebbe un controllo sulle medesime. 2) Inoltre, anche qualora tale rischio non esistesse, potrebbe, in linea di principio, essere ritenuto responsabile di qualsiasi attività o informazione illecita, senza che le condizioni enunciate all'articolo 14, paragrafo 1, lettere a) e b), di tale direttiva siano effettivamente soddisfatte. È vero, prosegue questa opinione, che l'articolo 14, paragrafo 1, lettera a), della direttiva 2000/31 subordina la responsabilità [rectius: l'esenzione da responsabilità] di un prestatore intermediario alla conoscenza effettiva dell'attività o dell'informazione illecita. Tuttavia, alla luce di un obbligo generale in materia di sorveglianza, si potrebbe ritenere che il carattere illecito di qualsiasi attività o informazione venisse portato "d'ufficio" a conoscenza di tale prestatore intermediario e che quest'ultimo dovrebbe procedere alla rimozione di tali informazioni o disabilitare l'accesso alle medesime, senza che esso abbia compreso il contenuto illecito. Di conseguenza, si prosegue, la logica dell'immunità relativa in materia di responsabilità per le informazioni memorizzate da un prestatore intermediario sarebbe sistematicamente sovvertita: il che arrecherebbe pregiudizio all'effetto utile dell'articolo 14, paragrafo 1, della direttiva 2000/31. In conclusione, per il «combinato disposto dell'articolo 14, paragrafo 3, e dell'articolo 15, paragrafo 1, della direttiva 2000/31 che un obbligo imposto ad un prestatore intermediario nell'ambito di un'ingiunzione non può avere come conseguenza che, rispetto alla totalità o alla quasi totalità delle informazioni memorizzate, il ruolo di tale prestatore intermediario non sia più neutro nel senso descritto al paragrafo precedente» .
Circa questa presa di posizione teorica del bravo AG Szpunar su uno dei temi più complessi della platform liability/accountability/responsibility, si possono muovere delle osservazioni . Circa 1), il ruolo neutro automatico e passivo riposa solo sul cons. 42, che cede di fronte al dettato dell'art. 14 e comunque è riferito solo ai primi due tipi di provider (art. 12-13), non all'hosting provider ex art. 14, come detto sopra. Circa sub 2) (non chiarissimo), è vero che il dovere di sorveglianza estesa sarebbe probabilmente incompatibile con l'art. 14/1 dir. (se ben capisco). Quest'ultimo vuole che non ci sia responsabilità per i contenuti caricati, fino a che il provider non sappia oppure, se sa, qualora abbia proceduto a rapida rimozione/disabilitazione. La violazione di un dovere di sorveglianza, invece, potrebbe esporlo a qualche responsabilità in uno stadio a monte e cioè anche senza e prima che egli sapesse: in questo senso una così ipotizzata norma nazionale probabilmente sarebbe incompatibile con l'art. 14/1 dir. 2000/31. Si potrebbe superare il problema, intendendo opportunamente l'ipotizzato dovere di sorveglianza generale e cioè secondo la diligenza esigibile da operatori professionali eiusdem condicionis et professionis (come si dovrebbe in realtà fare, non potendosi immaginare posizioni di garanzia). E' dunque errato dire con l'AG che in tale ipotesi «il carattere illecito di qualsiasi attività o informazione venga [verrebbe] portato d'ufficio a conoscenza di tale prestatore intermediario e che quest'ultimo dovrebbe procedere alla rimozione di tali informazioni o disabilitare l'accesso alle medesime, senza che esso abbia [avesse] compreso il contenuto illecito». Il canone di diligenza escluderebbe di certo tale scenario: non potrebbe ritenersi il provider "notiziato" per il solo dovere astratto di sorvegliare, ma semmai dopo esame delle circostanze e dopo prova che egli, tramite appositi filtri disponibili sul mercato, avrebbe potuto sapere (prova assai difficile per la segretezza che ricopre queste tecnologie). Il problema di compatibilità con l'art. 14 sarebbe altro: l'equilibrio di interessi, composto da quest'ultima norma, prevede che il provider non possa essere censurato per negligente controllo ex ante dei materiali ospitati e tocchi invece al soggetto leso segnalarglieli. In altre parole il provider può comunque stare tranquillo, fino a che non riceva una specifica segnalazione, senza preoccuparsi di setacciare le migliaia/i milioni di file ospitati: «il punto di equilibrio è stato allora rinvenuto in un sistema di controllo successivo e ad attivazione precipua da parte del soggetto titolare dei diritti d'autore ritenuti violati.» . Con questa disciplina allora contrasterebbe un ipotetico obbligo generale di sorveglianza o ricerca, sia ex ante sia dopo ingiunzione: anche in quest'ultimo caso infatti opera il divieto ex art. 15 § 1 dir. 2000/31-art.17 c. 1 d. lgs. 70/2003, come si evince dalla giurisprudenza sopra ricordata. Ne segue che queste due norme probabilmente sono a stretto rigore inutili: anche senza di esse, un obbligo generale di sorveglianza o ricerca (a livello di comando generale es astratto -legge- o specifico e concreto -inibitoria-) sarebbe comunque in contrasto con l'art. 14/1 dir. 2000/31.
Si tratta di un equilibrio come tanti altri e non è detto che rimanga a lungo così. Si v. ad es. la nuova dir. 2019/790 di riforma del copyright in cui la posizione del provider è aggravata (quasi rovesciata), dato che egli è responsabile (in proprio, pare) per violazione del diritto di comunicazione al pubblico, a meno che provi il ricorrere delle esimenti di legge . Anche se potrebbe dirsi l'opposto e cioè che, una volta accontentati i più forti economicamente tra i titolari dei diritti più spesso violati in internet (copyright), la modifica della dir. 2000/31 è diventata meno urgente .
Al momento, è probabilmente esatta la corrente opinione, secondo cui, nella scelta tra il keep up (disattendendo le ragioni del soggetto leso, quindi con possibile responsabilità verso costui) e il take down (accogliendo le ragioni medesime, quindi con possibile responsabilità verso l'utente uploader), il provider continuerà probabilmente ad optare per la seconda via, procedendo a rimozione/disabilitazione (sono stati già rilevati frequenti abusi della richiesta di take down, soprattutto nei rapporti tra imprese concorrenti ).
29. L'inibitoria. Giurisprudenza europea in tema
La giurisprudenza, europea e nazionale, è intervenuta su questi aspetti.
La premessa è che sia possibile imporre inibitorie ad intermediari, anche se questi non sono responsabili della violazione . Questo è pacificamente desumibile dagli artt. 11 dir. 48/2004 e dall'art. 8 c. 3 dir. 29, dal contenuto del tutto analogo : qui è chiara la contrapposizione tra provvedimenti contro gli autori della violazione (art- 8 c- 2) e provvedimenti contro gli intermediari utilizzati (art. 8 c. 3). Ed è chiaro pure in base alla struttura degli artt. 12-13-14 dir. 31/2000, i cui § 3 distinguono la responsabilità dalla soggezione ad inibitoria. Nel diritto interno si v. l'art. 156 c. 1 l. aut. e 163/1 l. aut. nonché art. 124 c. 1 c.p.i. (inibitoria definitiva) e art. 131 c. 1 ult. parte c.p.i.. (inibitoria cautelare). Che la soggezione all'inibitoria prescinda da un titolo di (cor-)responsabilità risarcitoria, è pacificamente accettato dalla dottrina .
Come sopra anticipato, tuttavia, quanto appena detto non vale più -o non negli stessi termini- con la dir. 790 del 2019 sulla riforma del diritto d'autore. Questa dispone d'imperio che: - da un lato «(..) il prestatore di servizi di condivisione di contenuti online effettua un atto di comunicazione al pubblico o un atto di messa a disposizione del pubblico ai fini della presente direttiva quando concede l'accesso al pubblico a opere protette dal diritto d'autore o altri materiali protetti caricati dai suoi utenti.» (art. 17/1); - dall'altro, che in tale caso non opera il safe harbour ex art. 14/1 della dir. 2000/31 (art. 17/3). Il semplice ospitare file illeciti costituisce violazione del diritto di autore: a meno che ricorrano o un titolo negoziale o un'elevata diligenza ex ante (filtraggio) o ex post (rimozione/disabilitazione) (art. 17/4) . Ma su questa importante novità e le sue implicazioni sistematiche non si può qui dire di più . Tuttavia la pressione concorrenziale -e accordi stipulati all'ombra del DMCA tra le piattaforme e le major dell'industria culturale- hanno fatto si che anche negli USA, pur mancando ad oggi nel DMCA del 1998 una disciplina restrittiva come il cit. art. 17 dir. 2019/790, le piattaforme adottassero ugualmente filtri automatici: le grosse imprese titolari di copyright, infatti, sostenevano che non provvedere in tale senso sarebbe stato qualificabile come trarre beneficio dalle (ed anzi agevolare le) violazioni .
Torniamo ora alla giurisprudenza sul punto.
la Corte di Giustizia 12 luglio 2011, L'Oreal c. eBay, non è particolarmente interessante, anche se spesso citata. Al § 142 dice che si può ingiungere al gestore di un mercato online di adottare misure che consentono di agevolare l'identificazione dei suoi clienti venditori e non può essere opposta la privacy: «a tal proposito, come ha giustamente esposto la L'Oréal nelle sue osservazioni scritte e come risulta dall'art. 6 della direttiva 2000/31, se è certamente necessario rispettare la protezione dei dati personali, resta pur sempre il fatto che, quando agisce nel commercio e non nella vita privata, l'autore della violazione deve essere chiaramente identificabile» . Successivamente chiarisce l'ovvio e cioè che, secondo l'articolo 11, 3° per., direttiva 48/2004, si può ingiungere al mercato online eBay non solo di far cessare le violazioni, ma anche di prevenire nuove violazioni della stessa natura (§ 144) .
Ad onore del vero, curiosamente l'articolo 11, terzo per., dir. 48 non specifica il contenuto dell'ingiunzione verso gli intermediari: ma questo è superabile, dato che andrà interpretato come nel primo periodo nell'articolo, laddove la riferisce all'autore della violazione e dunque un ordine di cessazione del proseguimento della violazione. Inoltre in questa prima parte dell'art. 11 l'ingiunzione è solamente di cessazione e non menziona l'astensione da condotte future. In questo senso allora può ravvisarsi uno spunto interpretativo utile nella menzionata sentenza della Corte di Giustizia, anche se la cosa non era dubbia: l'inibitoria de futuro è espressamente menzionata nell'art. 18 § 1 dir. 31/2000 e nel c. 3 degli artt. 12-13-14 della stessa , oltre che -ma questo ha scarso valore ermeneutico- dal cons. 24 della dir. 2004/48 . Del resto non si può pensare che la Direttiva del 2004 le abbia abrogate, essendo disposizioni espressamente fatte salve dall'art. 2 §§ 2-3 dir. 48/04-; né si vedono ragioni per una portata dell'inibitoria nella proprietà intellettuale più ristretta di quella propria della inibitoria nell'illecito civile comune (cioè che preveda solo la cessazione e non la prevenzione). La dottrina concorda nell'ammettere la generalità dell'inibitoria preventiva verso gli intermediari .
Ci sono poi due sentenze nel biennio 2011-2012 con medesimo relatore, medesimo A.G. e medesimo attore originario (SABAM, collecting del Belgio), che son di qualche interesse.
Nella prima (Scarlet Extended c. SABAM) l'azione è proposta contro un fornitore di accesso tramite il quale venivano scambiati file illeciti per mezzo di un software peer to peer. Nella seconda (Sabam c. Netlog) l'azione è proposta contro una piattaforma belga di social network (poi chiuso), tramite la quale pure venivano scambiati file illeciti, rappresentanti opere del repertorio attoreo . Le domande pregiudiziali sono simili e consistono nel capire se l'inibitoria può consistere in un sistema di filtraggio preventivo su tutti i file transitati o memorizzati dai due provider e per tutti i clienti, senza limiti di tempo e a spese del provider.. La risposta della C.G. è che il diritto europeo osta ad una simile ingiunzione . Infatti «una simile ingiunzione obbligherebbe il suddetto prestatore a procedere ad una sorveglianza attiva della quasi totalità dei dati relativi a ciascuno degli utenti dei suoi servizi, onde prevenire qualsiasi futura violazione di diritti di proprietà intellettuale, imponendogli in tal modo una sorveglianza generalizzata vietata dall'articolo 15, paragrafo 1, della direttiva 2000/31. Essa causerebbe, peraltro, una grave violazione della libertà di impresa del prestatore di servizi di hosting, poiché l'obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a sue spese, il che risulterebbe peraltro contrario alle condizioni stabilite dall'articolo 3, paragrafo 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose. Pertanto, un'ingiunzione siffatta non rispetterebbe l'esigenza di garantire un giusto equilibrio tra, da un lato, la tutela del diritto di proprietà intellettuale, di cui godono i titolari di diritti d'autore, e, dall'altro, quella della libertà d'impresa, di cui beneficiano operatori quali i prestatori di servizi di hosting. Gli effetti di una simile ingiunzione non si limiterebbero, del resto, al prestatore di servizi di hosting, poiché il sistema di filtraggio è idoneo a ledere anche i diritti fondamentali degli utenti dei medesimi, ossia il loro diritto alla tutela dei dati personali e la loro libertà di ricevere o di comunicare informazioni, diritti, questi ultimi, tutelati dagli articoli 8 e 11 della Carta dei diritti fondamentali dell'Unione europea. Da un lato, l'ingiunzione implicherebbe l'identificazione, l'analisi sistematica e l'elaborazione delle informazioni relative ai profili creati sulla rete sociale dagli utenti della medesima, informazioni, queste, che costituiscono dati personali protetti, in quanto consentono, in linea di principio, di identificare i suddetti utenti. Dall'altro, essa rischierebbe di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto illecito ed un contenuto lecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito» .
In sintesi, bilanciando gli interessi coinvolti (diritto violato portato in giudizio, liberta di impresa del provider, diritto dell'utente alla riservatezza, diritto dell'utente di informazione attivo e passivo ), la Corte ha sciolto il dubbio, affermando che simile comando inibitorio: i) viola il divieto di monitoraggio generale; e ii) impone misure inutilmente complesse e costose (art. 3/1 dir. 2004/48). Dal fraseggio della motivazione (prendiamo Sabam c. Netlog, C-360/10), sembrano essere invocati entrambi i motivi di incompatibilità, essendoci due esami e due conclusioni (§ 38 e § 51), anche se ne sarebbe probabilmente bastato uno solo. La C.G. non chiarisce il rapporto tra questi due limiti, gravanti sui doveri imponibili al provider: si può però dire che l'art. 3 dir. 2004/48 abbia generalizzato il criterio sottostante al divieto di monitoraggio generale ex art. 15 § 1 dir. 2000/31.
Pure interessante è la sentenza nel caso UPC Telekabel c. Constantin Film-Wega Filmproduktions del 27 marzo 2014 . Qui la questione pregiudiziale era la seguente: «Se sia compatibile con il diritto dell'Unione, in particolare con la necessità di operare un bilanciamento fra i diritti fondamentali delle parti coinvolte, vietare a un fornitore di accesso [a Internet] in modo totalmente generale (dunque senza la prescrizione di misure concrete) di consentire ai suoi abbonati l'accesso a un determinato sito Internet fintanto che in quest'ultimo siano, esclusivamente o prevalentemente, resi accessibili contenuti senza l'autorizzazione del titolare dei diritti, qualora il fornitore di accesso [a Internet] possa evitare sanzioni per la violazione di tale divieto dimostrando di avere comunque adottato tutte le misure ragionevoli » (§ 17 sub 3). E la risposta è positiva in relazione alla libertà di impresa, dato che il destinatario può scegliere le misure più adatte e comunque può sottrarsi al responsabilità dimostrando di aver adottato tutte le misure ragionevoli (§§ 51-53). Quanto alla libertà di informazione degli utenti Internet, bisogna che le norme nazionali prevedono la possibilità di ricorrere contro le misure adottate dal provider (§ 57). Per quanto riguarda il terzo interesse in conflitto (la proprietà intellettuale, cioè il diritto leso), il giudice ammette che un'inibitoria di questo tipo possa non essere risolutiva e cioè che possa far filtrare eventuali future violazioni: eventualità però non anomala, ricorda la Corte, poiché il diritto d'autore non è sempre e comunque prevalente sugli altri diritti . E' allora sufficiente che la misura adottata abbia l'effetto di impedire o rendere difficilmente realizzabili le consultazioni non autorizzate. Perché poi vi sia un giusto bilanciamento tra i vari diritti coinvolti, bisogna che la misura non privi inutilmente gli utenti di internet della possibilità di accedere in modo lecito alle informazioni disponibili: in pratica, che sia un inibitoria mirata cioè con oggetto sufficientemente preciso (§§ 61-63) .
Ancora interessante è la sentenza McFadden c. Sony, 15 settembre 2016 . Nella fattispecie un negoziante permetteva di utilizzare la propria rete WiFi a chi entrava in negozio e ciò senza protezione o controllo (password). Era capitato che un soggetto appunto nel negozio avesse scaricato materiale illecito: si tratta dunque di uno dei pochi casi giudiziari di semplice trasporto/mere conduit ex art. 12 dir. 2000/31 . Nel caso specifico, secondo il giudice a quo, le misure adottabili in concreto erano tre e cioè: i) esaminare tutte le informazioni trasmesse, ii) chiudere la connessione oppure iii) proteggere la tramite password (§ 85). È chiaro che la prima misura contrasta con il divieto di monitoraggio generale e quindi non è ammissibile. Nemmeno è ammissibile la chiusura della connessione, dal momento che compromette troppo la libertà di impresa (§§ 87-88). La Corte ritiene invece che la misura della password obbligatoria sia una misura sopportabile per l'impresa (§ 91) e nemmeno troppo restrittiva per il diritto alla libertà di informazione dei destinatari del servizio (§ 92 e 94). Tale misura è anche sufficientemente efficace , sempre che la comunicazione di password agli utenti sia preceduta dalla rivelazione della loro identità per ottenerla e quindi sempre che non possano agire in via anonima (§ 96): il che, però, obbliga il venditore o il titolare della rete locale ad annotare (magari pure a verificare) diligentemente le informazioni personali (il che costituisce trattamento di dati personali ).
30. L'inibitoria. Giurisprudenza italiana in tema
C'è pure della giurisprudenza nazionale. Alcune sentenze riprendono quanto stabilito da quelle europee circa l'inammissibilità di un dovere di sorvegliare tutti i file del provider alla ricerca delle opere appartenenti al soggetto leso: così, ad es., il già cit. Appello Milano 07.01.2015 n. 29, Yahoo c. RTI ed pure un reclamo cautelare del Trib. Torino 18.09.2015 in Delta TV c. Dailymotion .
In senso opposto v. i giudici di Torino secondo cui "L'intervento richiesto all'hosting provider, non si sostanzia affatto, come paventano i resistenti, in un vaglio preventivo su tutti i contenuti presenti o in corso di caricamento sulla sua piattaforma, finalizzato a individuare video lesivi dei diritti del ricorrente. Si tratta, invece, di un controllo successivo e mirato. Successivo, perché è stato preceduto da una denuncia in cui sono stati individuati gli specifici URL dei contenuti asseritamente lesivi. Mirato perché è diretto a impedire nuovi caricamenti di quei contenuti che erano presenti agli URL già comunicati. Non convincono le difese di YouTube e Google Inc. nella parte in cui pretendono di individuare i contenuti con gli URL; affermando di conseguenza che ogni nuovo caricamento su un URL diverso rappresenterebbe un "nuovo contenuto" (diverso da quello precedentemente rimosso). E infatti la locuzione Uniform Resource Locator (in acronimo URL), nella terminologia delle telecomunicazioni e dell'informatica è una sequenza di caratteri che identifica univocamente l'indirizzo di una risorsa in Internet, tipicamente presente su un host server, come ad esempio un documento, un'immagine, un video, rendendola accessibile ad un client che ne faccia richiesta attraverso l'utilizzo di un web browser. Dunque l'URL non è il contenuto, ma piuttosto il "luogo" dove il contenuto è reperibile. 3.6 Dal punto di vista tecnico, è pacifico che l'attuale stato della tecnologia consente di individuare, fra la sterminata mole di materiale presente su YouTube, quello corrispondente a un determinato contenuto. Questa è la descrizione del funzionamento di Content ID reperibile sul sito di Google: "Content ID è uno strumento sviluppato per consentire ai titolari di copyright di identificare e gestire facilmente il copyright dei propri contenuti su YouTube. I video caricati su YouTube vengono esaminati e confrontati con un database di file che abbiamo ricevuto dai proprietari di contenuti. Spetta al titolare del copyright decidere come procedere nel caso in cui i contenuti di un video di YouTube corrispondano a una delle sue opere. In tal caso, il video riceve una rivendicazione di Content ID". Sempre da un punto di vista tecnico, non è vero che questo filtro possa funzionare solo se i reference file vengono forniti dal titolare dei diritti che si assumono violati. L'unica cosa necessaria è che il software disponga di file di confronto, sulla cui base individuare i file simili" .
In breve, la tecnologia esistente permette filtraggi automatici, che di conseguenza non costituiscono obblighi generali di sorveglianza o ricerca.
Nello stesso senso Trib. Milano ord. 12.04.2018, Mondadori c. Fastweb, secondo cui «tenuto conto delle circostanze del caso concreto, ritiene questo tribunale che sia compatibile con il divieto dell'obbligo generale di sorveglianza, proporzionata e allo stesso tempo efficace una misura che ordini agli internet service provider di impedire l'accesso ai medesimi contenuti già accertati illeciti -perché relativi alle comunicazione al pubblico, senza autorizzazione dell'avente diritto, dei diritti esclusivi della ricorrente relativi ai Periodici» .
31. (segue:) l'ingiunzione c.d. dinamica
Altri provvedimenti nazionali riguardano la specifica questione dell'ingiunzione cosiddetta dinamica. Si tratta del problema del se si possono inibire pro futuro certe condotte anche se in modalità informaticamente diverse da quello oggetto di causa. Da qui l'aggettivo «dinamiche», dato che si mira a reprimere l'elusione del provvedimento inibitorio, variando qualche aspetto della condotta contraffattiva: in particolare modificando il server di provenienza tramite i suoi cosiddetti siti alias.
Secondo Trib. MI 12.4.18 si può ordinare ai provider di impedire l'accesso "ai medesimi contenuti già accertati illeciti", a prescindere dal nome di dominio che continua a mutare per dichiarata volontà del violatore. Un diverso comando, che circoscrivesse l'ordine ad un preciso nome di dominio, sarebbe in pratica inutiliter datum. Un ordine dunque che comprenda i siti alias è l'unico che impedisce o rende difficilmente realizzabile l'illecito, secondo lo spunto di C.G. in Telekabel. Il giudice però subordina il sorgere di questo obbligo alla segnalazione da parte del titolare, per evitare di dare contenuto troppo ampio al provvedimento, che potrebbe violare il divieto di monitoraggio generale. L'ordine è ugualmente molto ampio e comprende i contenuti presenti non solo in diversi top level domain (.it,.fr etc.), ma anche con uguale nome di secondo livello : ed anzi pure i contenuti presenti in qualsiasi sito e cioè a prescindere dalla ricorrenza di uguale o diverso nome di dominio di primo o di secondo libello . Ne segue che il soggetto inibito dovrà filtrare a trecentosessanta gradi sui propri server, avendo un solo limite: che si tratti del contenuto dichiarato illecito. Tale dovere è difficilmente compatibile con il divieto di art. 15 § 1 dir. 2000/31-art- 17 c.1 d. lgs. 70/2003.
Nello stesso senso altri due provvedimenti cautelari a cavallo tra il 2019 e il 2020, i quali ammettono l'inibitoria anche relativamente ai siti alias con mutamento non solo del top level domain (fermo il second level domain), ma anche con mutamento di quest'ultimo, «a condizione che - oltre a rimandare ai medesimi contenuti illeciti innanzi considerati - il collegamento tra i soggetti responsabili dell'attività illecita ad oggi posta in essere tramite i siti indicati sia obbiettivamente rilevabile; le parti ricorrenti comunicheranno ai resistenti tale estensione sotto la loro responsabilità allegando tutti gli elementi documentali utili ad attestare la provenienza dai medesimi soggetti» .
Proprio su questo punto diverge -andando in senso restrittivo- Tribunale Milano 4 marzo 2019 , sempre in fase cautelare. Viene infatti parzialmente disattesa l'istanza «in relazione al richiesto blocco all'accesso a tutti gli altri siti che in futuro porranno a disposizione del pubblico i medesimi contenuti (i cd. "alias"), posto che l'effettiva riconducibilità ad un unico fatto lesivo dovrebbe essere specificamente vagliata, per verificarne la reale coincidenza oggettiva e soggettiva con i comportamenti già esaminati -dunque effettivamente consistenti nell'attuazione del medesimo comportamento illecito - al di là di quelle condotte che pongono in essere minime variazioni del tutto secondarie e non autonomamente caratterizzanti: allo stato deve dunque estendersi l'inibitoria a quelle condotte che associno diverso top level domain al medesimo second level domain che consiste nell'espressione enigma IPTV, onerando parte ricorrente di comunicare alle resistenti gli eventuali nuovi indirizzi IP che consentissero il collegamento al sito web in questione, anche ove quest'ultimo sia associato a diverso top level domain ma consenta la fruizione dei medesimi contenuti».
Non è esplicitato che questo comportamento del titolare condizioni l'operatività degli ordini inibitori a carico del provider: tuttavia un'interpretazione secondo buon senso induce a ritenere ciò. Il motivo, per cui il tribunale limita l'estensione dell'inibitoria a variazioni di top level domain, è, come visto, che «l'effettiva riconducibilità ad un unico fatto lesivo deve essere specificamente vagliata» (da un giudice). Va osservato che, ferma restando l'identità del materiale caricato on line, costituisce sì nuovo fatto, ma processualmente secondario , anche il mutamento di dominio di secondo livello e non solo quello di primo livello. In fondo si tratta solo di agganciare gli stessi file e il medesimo server ospitante ad un nome di dominio diverso: è cosa diversa -per fare un paragone col mondo analogico- passare dalla pubblicazione su un periodico a quella su un periodico diverso. Questo non sembra affatto eccedere il concetto di minima variazione secondaria, entro la quale il tribunale afferma di concedere l'ingiunzione dinamica.
Allo stato e a prima vista, dunque, sembra eccessivo ravvisare ad es. una sfera di pubblico diversa e un ampliamento di potenzialità lesiva (e quindi un fatto lesivo diverso) solo per aver cambiato il nome di dominio .
Ragiona similmente un provvedimento cautelare del Tribunale di Torino nella lite Delta TV v. Dailymotion, ove pregevolmente analitica motivazione .
Secondo il comando ivi portato, la denuncia del soggetto leso con indicazione della url è necessaria solo per la prima violazione, mentre non può essere pretesa per le successive. Per queste ultime può essere dato un'inibitoria ampia, concernente il materiale illecito a prescindere dall'identità totale o parziale della url. Il medesimo contenuto su url diverse, infatti, non è un nuovo contenuto, bensì il medesimo contenuto in un luogo diverso. Del resto, con i sistemi di filtraggio automatizzati tramite opportuni parametri di ricerca, non si viola il divieto di monitoraggio generale: basta infatti impostare i parametri medesimi solamente con il materiale, anzi, meglio, con il file inizialmente accertato come illecito (il Tribunale menziona il sistema dell'impronta digitale -fingerprint- oppure il sistema del Content-ID predisposto da Yahoo, in realtà: da Google/Youtube oppure il sistema Ina Signature).
Avrebbe potuto forse essere approfondito maggiormente, data la centralità nell'iter motivatorio e seppur si trattasse di sede cautelare, l'affermazione di «unicità del contenuto» nonostante la provenienza da URL diverse . Sarebbe forse meglio parlare di «unicità del fatto dannoso», secondo il tenore dell'art. 2043, o di «unicità della violazione», secondo il tenore degli art. 156 e 158 l. aut. (e dell'art. 124 c.1 cod. propr. ind.).
La successiva sentenza di merito, che ha definito l'opposizione a precetto (notificato per inottemperanza a detta ordinanza cautelare), con un comando assai complesso (alla luce anche della complessità di quello cautelare, anche per la parziale riforma intervenuta in sede di reclamo ), ha sostanzialmente confermato la cautela già concessa, così rigettando le istanze del titolare di un ordine di ricerca di materiali già caricati se «corrispondenti» a quelli denunciati . Il motivo di questa differenza non è ben chiaro, dal momento che i filtraggi tecnicamente possibili dovrebbero funzionare allo stesso modo sia in via preventiva che in via successiva sui materiali già presenti nei server del provider.
32. Sintesi sul divieto di istituire un obbligo generale di sorveglianza o ricerca ex art. 17 c. 1. Il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland limited, C-18/18
Il contenuto del divieto di monitoraggio generale, dunque, è di difficile determinazione, stante la vaghezza delle relative disposizioni: come osservato sopra, sono possibili le opposte interpretazioni. Potrebbe avere infatti qualche ragione pure la tesi, secondo cui l'obbligo generale non viene intaccato, quando l'ordine riguarda uno specifico file o anche una specifica opera protetta, a prescindere dal server tramite il quale viene messa on-line: quindi nemmeno quando il file va intercettato su tutte le possibili fonti di provenienza. Si tratta sempre di un obbligo di ricerca specifico, che non può essere ritenuto violazione del divieto di sorveglianza e ricerca generali. L'impressione, però, è che questa interpretazione estensiva troverà peggior accoglienza di quella che può considerarsi il suo opposto (dovere di ricerca di un certo file/opera protetta su certe fonti/server). Il problema è semmai più complesso quando la violazione è ridotta e cioè nel caso di diritto d'autore comporti una riproduzione solo parziale oppure quando il diritto leso e quello all'onore e alla reputazione. In quest'ultimo caso, infatti, si pone il problema del se le condotte successive alla diffamazione iniziale costituiscano ripetizione del medesimo illecito ed anzi se costituiscono ancora illecito (e eventualmente il medesimo illecito).
Su quest'ultimo problema (che si candida ad essere uno dei più difficili da dipanare) fa un po' di luce il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland Limited, C-18/18. Secondo la C.G. sono compatibili col diritto UE le ingiunzioni ad un host provider di rimuovere le informazioni di contenuto identico (si badi: identico) a quello dell'informazione già dichiarata illecita o di bloccarne l'accesso, chiunque sia l'autore dell'uploading (cioè sia l'autore già parte del processo, sia soggetti terzi) . Ed è compatibile pure fare altrettanto (v. però la precisazione subito sotto per il profilo soggettivo) circa l'informazione di contenuto non identico, bensì solamente equivalente (si badi: equivalente, non più identico) a quello già dichiarato illecito (§ 41 ss). Circa le informazioni equivalenti, però, punctum dolens di questo tipo di liti, la Corte precisa che non può esserci un obbligo eccessivo imposto al provider: devono allora essere specificate debitamente gli elementi dell'ingiunzione, come il nome della persona interessata, le circostanze e il contenuto equivalente. Comunque «differenze nella formulazione di tale contenuto equivalente rispetto al contenuto dichiarato illecito non devono, ad ogni modo, essere tali da costringere il prestatore di servizi di hosting interessato ad effettuare una valutazione autonoma di tale contenuto» (§ 45), sicchè quest'ultimo può avvalersi di tecniche e mezzi di ricerca automatizzati (§ 46) . Ad essere precisi, però, e circa le informazioni «equivalenti», la C.G. non dice espressamente che c'è l'obbligo di filtrarle verso qualunque utente: semplicemente tace su questo profilo soggettivo , a differenza dalla presa di posizione specifica dell'AG, che ne aveva ammesso il filtraggio solo verso il medesimo utente (v. subito sotto). Viene il sospetto che nella fretta (la decisione corre infatti un po' troppo spedita) il relatore si sia dimenticato di questo profilo soggettivo, non potendosi pensare ad un consapevole silenzio su un punto così importante.
Le relative conclusioni dell'avvocato generale Szpunar erano più analitiche e in particolare differivano dalla sentenza sul punto della inibitoria di informazioni non identiche, bensì solo equivalenti. L'AG infatti aveva ritenuto ammissibili queste ultime (le "equivalenti") solo se a carico del medesimo utente già coinvolto giudiziariamente: le aveva invece ritenute non ammissibili se a carico di terzi. Qui però il motivo non è molto chiaro, poiché il dire che ciò richiederebbe la sorveglianza della totalità delle informazioni diffuse sulla piattaforma (§ 73) non sembra giustificato: l'AG pone l'accento sulla necessità di soluzioni tecnicamente sofisticate, quando si tratta di individuare informazioni equivalenti anziché quelle identiche, e sul fatto che dovrebbe esercitare una forma di censura, diventando quindi un contributo reattivo e non più solo passivo della piattaforma ( § 73). Tuttavia sono osservazioni di dubbia persuasività, dal momento che, se dette soluzioni tecnicamente sofisticate sono automatiche, non dovrebbe esserci differenza a seconda che siano calibrate su uno, due, tre o su tutti gli utenti.
Il vero problema, piuttosto, oltre a quello della individuazione della equivalenza, sarà quello di decidere (toccherà al giudice, difficilmente interverrà il legislatore) quale sia il livello di investimento tecnologico richiesto ex diligentia (oppure ex non culpa, se in via aquiliana). C'è da decidere se pretendere l'adozione dei migliori software da tutti i provider indistintamente oppure se calibrare la pretesa in base alle dimensioni (cioè essenzialmente, in base al traffico, direi) di ciascuno. Pare esatta la seconda alternativa: da un lato, perché così induce a pensare l'applicazione della diligenza o della non colpa; dall'altro perché non si può pretendere che anche i provider minori adottino i software più avanzati, pochi e costosi, pena la loro espulsione dal mercato, con la conseguenza di lasciare quest'ultimo in mano a pochi colossi mondiali tecnologici. Considerazione concorrenziale, che certo rileva in sede di interpretazione delle norme civilistiche, la quale, a parità di altri fattori, deve essere "orientata alle conseguenze" della propria applicazione . Una conferma può trovarsi nella recente modifica del copyright europeo, che, seppur in termini non chiarissimi, dovrebbe permettere la calibratura accennata .
Come già accennato sopra, le condizioni e le modalità dell'inibitoria sono regolate dal diritto nazionale, non europeo, purchè non contrastino con norme europee: e dunque, circa gli internet provider, non contrastino con la dir. 2000/31 né con la dir. 2004/48 (ed oggi nemmeno con la dir. 2019/790). Il tema della ampiezza del contenuto inibito affinchè, sufficientemente esteso da non essere aggirabile ma non troppo da essere penalizzante per la libertà di azione dell'ingiunto o da diventare una mera ripetuizione della norma di legge, è stato esaminato dalla dottrina sia industrialistica che processualistica. Il problema, naturalmente, è capire quando la condotta successiva rientri in quella già inibita (costituendo quindi violazione dell'inibitoria stessa), senza dover proporre una nuova e autonoma azione di accertamento: ma i profili sono connessi, dal momento che più ampia è l'inibitoria, più facile sarà farvi rientrare la condotta successiva. Quando invece l'inibitoria ha un contenuto assai ristretto, c'è il rischio che in pratica si limiti ad inibire solo comportamenti uguali a quelli accertati illeciti. Secondo una dottrina i limiti oggettivi del giudicato, sottostante all'inibitoria, sono rispettati se i due comportamenti messi a paragone (quello accertato illecito e il successivo) sono accomunati da identità di genere e di specie, all'interno della quale eventuali diversità fenomeniche non escludono l'operatività del provvedimento . Stante però la genericità di questo primo criterio, l'autore lo precisa affermando l'irrilevanza del fattore tempo e del fattore luogo nonché di altre modalità di compimento, che ai fini degli effetti lesivi sono equivalenti. Per certi tipi di illeciti ciò può risultare di più facile applicazione. ad es. quando si tratti di violazione di marchio o di diritto d'autore o di brevetti rispetto alle diffamazioni . In tali casi si potrà ricorrere al concetto di «nucleo della violazione concreta», elaborato dagli ambienti giuridici tedeschi e svizzeri: il quale non si allontana molto da quello appena visto di "specie e genere" ma può essere utile, perché comporta un richiamo ai criteri propri della privativa industrialistica per ravvisare o meno il ricorrere della identità di violazione. Si pone allora il problema del se questa individuazione del «nucleo della violazione» debba essere lasciato all'eventuale contestazione dell'inibito (oggi verosimilmente contestazione alla penalità di mora ex art.614 bis) o se possa ex ante essere in qualche modo precisato dal giudice. Con la conseguenza in tale caso di dover capire se la precisazione sia vincolante (se cioè, al di fuori di essa, si tratta sempre di violazione diversa da quella accertata illecita) o se possa a sua volta essere intesa con una certa larghezza o elasticità o comunque interpretata: questione che a sua volta trova risposta diversa a seconda che l'ambito, che il giudice afferma coperto dalla inibitoria, sia indicato in modo più o meno preciso e a seconda che ricorra o meno una statuizione esplicita per chiarire proprio la questione di tale vincolatività. E' stato suggerito che siano le parti (in sede di domanda) e il giudice (in sede di sentenza) a precisare le condotte, rientranti ad es. nel concetto di "ogni violazione o inosservanza successivamente contestata" di cui all'art. 124 c.2 c.p.i, nel giusto mezzo tra dettaglio e ampiezza .
La dottrina processualistica ha altresì condivisibilmente posto l'accento sulla necessità che il giudice fissi un limite temporale di operatività della misura coercitiva, non potendosi immaginare nemmeno in astratto un'astrainte perpetua. Con la conseguenza che, decorso il periodo di tempo indicato, si prenderà atto della inutilità dell'astreinte e al creditore residuerà solo la tutela risarcitoria per equivalente ed eventualmente quella in forma specifica .
33. L'art. 17 c. 2
L'articolo 17 c.2 pone due obblighi a carico del provider: 1) informare senza indugio l'Autorita', quando sia a conoscenza di presunte attività o informazioni illecite. Qui è probabile che non ci sarà molto contenzioso, dal momento che il provider, ogni volta che abbia conoscenza di ciò (in pratica, quando venga avvisato dal titolare del diritto asseritamente violato), invierà rapidamente una comunicazione alle Autorità competenti. Farà lo stesso -non è difficile ipotizzarlo- quando ne verrà a conoscenza in qualunque altro modo: non ci sono grossi interessi contrari a ciò (parrebbe). 2) obbligo di fornire a richiesta dell'autorità le informazioni in suo possesso che permettono di identificare il destinatario dei servizi suo cliente. E' stato sollevato il dubbio se da questa norma si desuma un obbligo di identificare il cliente stesso (e magari identificarlo con un certo rigore, cioè senza limitarsi a prendere per buone le dichiarazioni in sede di stipula contrattuale). La risposta è nel senso che, quantomeno in base a questa norma, non c'è obbligo in tal senso. Il dettato normativo è abbastanza chiaro nel dire che l'obbligo di comunicazione riguarda le sole informazioni, che siano in possesso del provider e cioè che siano già (attualmente) in suo possesso: dalla disposizione non si desume che gli a monte abbia specifici doveri di raccolta di questo o quel dato e/o di verificarli. In altre parole, la norma si riferisce alla comunicazione di dati identificativi, di cui sia già in possesso, secondo la sua impostazione di business, mentre non si può da essa trarre che abbia un obbligo di procurarseli .
E' stata affermata l'opposta soluzione, in base alla regola di diligenza professionale, da interpretare alla luce del precetto costituzionale di solidarietà, anche per la gravità dei danni possibili . L'argomento non persuade: ogni prestazione deve essere prevista per legge ex art. 23 Cost., dato che ad essa si contrappone la libertà dei singoli e -per l'imprenditore- la libertà di impresa. Eventuali doveri -magari astrattamente auspicabili- non possono essere tratti dalla fantasia o dalla personale visione dell'interprete, ma solo da volontà legislativa espressa: la quale è troppo evanescente nel caso dell'art. 17 del d. lgs. 70/2003 per arrivare ad una simile conclusione.
Nella pratica, alcune informazioni identificative il provider le avrà sempre , dato che avrà stipulato un contratto col proprio utente. Per cui il problema si sposta su un eventuale obbligo di verificare la veridicità dei dati stessi (che ha o che dovesse -in base alle testé respinta tesi- procurarsi): e la risposta è anche qui negativa, non potendosi trarre un obbligo di simile controllo né dall'art. 17 né dal riferimento alla diligenza del cons. 48 .
Si tratta insomma di regola pubblicistica tra provider e Autorità, nella quale non pare pertinente un richiamo alla diligenza di comportamento, che caratterizza invece i rapporti tra privati, contrattuali o aquiliani che siano. Per non dire, poi, che: i) il riferimento alla diligenza non sta nell'articolato ma solo nel cons. 47; ii) non è imposta ma è lasciata impregiudicata -cioè è dichiarata compatibile col diritto UE- qualora gli Stati intendano imporla; iii) il cons. 47 richiede che sia prevista dal diritto nazionale, il che non è avvenuto da noi.
Non pertinente, poi, è appoggiare la tesi all'inciso «che consentano l'identificazione», presente nell'art. 17 c.2 sub b) : la disposizione significa solo che, tra le informazioni in suo possesso, il provider deve comunicare tutte quelle utili per raggiungere l'identificazione. La costruzione sintattica è chiara in tale senso.
La sanzione per la violazione di tali obblighi potrà essere sia penale (favoreggiamento personale, se non concorso nel reato), sia civile (risarcimento del danno ex artt. 2043-2055 ), ricorrendone i presupposti. Se infatti tale omissione cagiona o contribuisce a cagionare danno (prova difficile), questo sarà ingiusto e del resto sussisterà almeno la colpa: sicchè la risarcibilità difficilmente potrà essere evitata .
34. L'art. 17 c. 3. Cambiamenti in vista per la disciplina del safe harbour (ed anzi, delle piattaforme in generale)?
Il c. 3 dell'art. 17 non ha una chiara portata. Afferma la responsabilità civile del provider per il "contenuto di tali servizi" (cioè quelli propri dei tre tipi di provider: artt. 14-16) in due casi: i) quando, richiesto dall'autorità, non ha agito prontamente per impedire l'accesso ai contenuti stessi; ii) quando, pur sapendo della illiceità o dannosità del contenuto da lui ospitato, non ha informato l'Autorità competente. Si tratta di due fattispecie, in cui la responsabilità è affermata in positivo, anziché in negativo (cioè disciplinandone l'esenzione), come invece avviene negli artt. 14-16. Il che conferma la difficoltà della tesi, che interpreta in positivo pure i predetti artt.14-16, come taluno pur sostiene (anche se la differenza alla fine potrebbe risultare modesta, come sopra accennato) .
Circa il caso sub i), "prontamente" vale "immediatamente", di cui all'art. 16 lett. b): non vedo differenza. Si richiede l'impedimento dell'accesso (disabilitazione o filtraggio: da vedere sotto il profilo tecnologico quali modalità esistano), ma non si dice nulla sulla rimozione: e se l'Autorità ordina quest'ultima, invece della disabilitazione? La norma pare riferire la richiesta solo alla disabilitazione all'accesso, ma non impedisce -direi- che venga chiesta invece la rimozione. In tale caso (rimozione) l'inottemperanza può generare danno ingiusto risarcibile? Direi di si. Anche se la colpa non sarebbe per "inosservanza di ordini" (art. 43 c.p.), ma per negligenza generale: dunque sarebbe da invocare ai fini della causa petendi la violazione dell'art. 2043, anziché la norma de qua .
La disposizione pare sanzionare con responsabilità civile la stessa condotta che, all'opposto e cioè in negativo, costituisce l'esenzione di cui all'art. 16 c. 1 lett. b), pur se con alcune modeste differenze. Quest'ultima disposizione: i) parla di "comunicazione", anziché di "richiesta"; ii) parla di rimozione/disabilitazione, mentre quella ora in esame, come detto, menziona solo l'impedimento dell'accesso ; iii) parla di "autorità competenti", mentre la prima di "autorità giudiziaria o amministrativa avente funzione di vigilanza"; iv) usa l'avverbio "prontamente", invece di "immediatamente". Non sorgono però particolari problemi interpretativi per le prime due differenze , dato che anche dette ipotesi, ammesso che fuoriescano dal safe harbour (art. 16), saranno governate dalla generale clausola di colpevolezza (aquiliana o contrattuale). Il che ad es. significa -circa la differenza sub i)- che, se per caso (ipotesi teorica) l'Autorità si limitasse a "comunicare l'illecito" invece che "richiedere l'impedimento dell'accesso", il provider dovrebbe probabilmente provvedere lo stesso, a pena di (perdere il safe harbour e) rispondere per negligente omissione.
In breve, la disposizione parrebbe inutile, dato che, anche senza di essa, non ci sarebbe dubbio che l'eventuale danno cagionato dall'omissione, ivi regolata , sarebbe ingiusto e cagionato con colpa: ovvero, se si opta per la qualifica contrattuale, che sarebbe stato prodotto da inadempimento consistente in condotta negligente.
Inoltre, se si concorda sul giudizio di incostituzionalità della regola (secondo cui è solo violando la comunicazione dell'Autorità che si perde il safe harbour e della -conseguente- possibilità invece di conservarlo nonostante una richiesta (o notizia) di rimozione/disabilitazione avanzata da privati, come sopra osservato circa l'art. 16 § 1 lett. b), l'incostituzionalità si estenderà probabilmente pure alla disposizione in esame. Appare incongruo, infatti, che la perdita del safe harbour venga legata alla notitia criminis anche privata, mentre il risarcimento del danno rimanga legato all'ordine dell'Autorità. Tra il primo momento (notitia criminis privata) e il secondo (comunicazione dell'Autorità), la permanenza on line dei file illeciti sarebbe giuridicamente in una terra di confine, con qualificazione giuridica spuria: priva di safe harbour (per la caduta della disposizione attuale a causa della sua incostituzionalità), ma non soggetta a risarcimento del danno. La logica di questa disciplina sfuggirebbe, non vedendosi interessi da soddisfare suo tramite: per cui non resta che concludere nel senso che anche la disposizione in esame sarebbe incostituzionale.
Il legislatore europeo, del resto, ha voluto esentare da responsabilità solo fino al momento della notizia privata, non oltre: ne segue che togliere il risarcimento del danno per il periodo successivo e sino a che qualche Autorità ordini la rimozione/disabilitazione, in pratica significherebbe spostare in avanti questo momento. In senso contrario è stato detto che la direttiva lasciava ampi margini per il recepimento, desumibili dai cons. 46 e 48 : tuttavia, da un lato, il fatto che tali "disposizioni" siano rimaste nei considerando, senza entrare nell'articolato, le rende di scarso o nullo valore precettivo e, dall'altro, sono comunque così generiche che pare difficile inferirne un riferimento alla comunicazione dell'Autorità, ma, semmai, a procedure di notice and take down finalizzate all'instaurazione di un contraddittorio tra il sedicente soggetto leso e l'uploader .
La seconda ipotesi, regolata dall'art. 17 c. 3, è quella per cui l' internet provider è civilmente responsabile del contenuto dei servizi offerti (cioè dei materiali caricati dai suoi utenti) o meglio dei danni cagionati dalla pubblicazione di detti contenuti quando, avuta conoscenza della loro illiceità o dannosità per un terzo, non abbia informato l'Autorità compente. Gli elementi costitutivi della fattispecie sono dunque:
i) che abbia conoscenza: non è richiesto alcun avviso da parte dell'Autorità e dunque basterà la notizia da chiunque proveniente o anche acquisita autonomamente, se l'interessato (il danneggiato) riesca a darne prova. Il provider non è un giudice in sede giudicante, per cui basterà una notizia, da cui una persona di media avvedutezza e preparazione culturale ricavi un giudizio di probabile illiceità o dannosità. Il dubbio, processualmente parlando, non può che giovare al provider, secondo l'ordinario riparto degli oneri probatori. Naturalmente basterà che la comunicazione arrivi al suo indirizzo, non servendo che sia letta e intellettualmente assimilata e ciò anche se si tratta di grande organizzazione: il rischio di ritardata presa di conoscenza, derivante dalle rilevanti dimensioni aziendali, va sopportato dal provider.
ii) carattere illecito o pregiudizievole del contenuto: qui la legge fa una strana distinzione tra illiceità dei contenuti e loro dannosità per un terzo, riprendendo tale quale il criterio direttivo della legge delega. La distinzione tra illiceità (violazione di diritti o situazioni giuridiche altrui) e responsabilità (quando segue un danno ingiusto) è spesso ricordata nelle trattazioni della responsabilità civile ed è probabilmente fondata (può esserci illiceità senza produzione di danno, tanto che è ammessa l'inibitoria preventiva: il tema è però complesso). Va forse intesa nel senso che la conoscenza richiesta basta che riguardi l'illiceità, non servendo che riguardi pure la dannosità per il terzo. La disposizione ricorda la norma generale, per cui nella responsabilità aquiliana vanno risarciti pure i danni non prevedibili, stante il mancato richiamo dell'art. 1225 cc da parte dell'art. 2056: infatti pare ricollegare la responsabilità per mancata comunicazione alla notizia di una qualsiasi illiceità, a prescindere dai danni che da essa prospetticamente potranno sorgere. La formulazione poco sorvegliata o comunque di dubbia consapevolezza -andrebbe verificato- non permette di insistere su questo nesso.
iii) i servizi offerti: si tratta di uno qualunque dei tre tipi di servizi indicati dagli articoli precedenti (v. c. 1): semplice trasporto; memorizzazione temporanea; memorizzazione permanente, anche se è chiaro che la pratica si appunterà soprattutto sugli ultimi due tipi ed anzi sull'ultimo tipo. Come detto sopra, il richiamo proprio ai tre tipi di provider è abbastanza chiaro. Ci si potrebbe allora chiedere cosa succederebbe se l'evoluzione della tecnica o del business enucleasse un diverso tipo (come del resto per le altre norme della dir. 31 o del d. lgs. 70/2003): ci sarebbe da ragionare su un'interpretazione analogica .
iv) non ha provveduto ad informare l'Autorità competente: non c'è un termine espresso, ma che ciò debba avvenire prontamente, una volta avutane notizia, è ovvio. Lo impone il concetto di colpa ex art. 2043 o di diligenza ex 1176 cc, se si ravvisa una responsabilità contrattuale (come sarà frequente, dato che a quel punto si tratterà di adempiere ad un obbligo di salvaguardia di una posizione soggettiva ben determinata). Cosa dovrà indicare l'informazione all'Autorità ? Dovrà indicare tutte le circostanze a conoscenza del provider, per metterla in grado di procedere con eventuali indagini (copia del file/url/nome e indirizzo dell'utente).
Questa comminazione di responsabilità civile ricorda il dovere di fornire informazioni alle Autorità, posto dal precedente art. 17 c. 2 lett. a). A differenza del rapporto tra la prima ipotesi dell'art. 17 c. 3 e l'art. 16 c. 1 lett. b), sopra ricordata (ove la prima afferma una responsabilità e la seconda una esenzione da responsabilità), nel rapporto tra le norme ora in esame (seconda ipotesi dell'art. 17 c. 3 e art. 17 c.2 sub a)) si nota che entrambe affermano doveri in positivo. In particolare, la prima (art. 17 c. 3, seconda ipotesi) sembra costituire la sanzione -in termini di responsabilità- per la violazione del dovere posto dalla seconda (art. 17 c.2 lett. a). C'è però qualche differenza:
i) nel c. 2 lett. a) la conoscenza concerne "presunte attività o informazioni illecite", mentre nel c.3 sec. ipotesi concerne "il carattere illecito o pregiudizievole del contenuto del servizio". Ebbene, quanto al grado di conoscenza, la differenza è evanescente e potrebbe mancar del tutto; quanto all'oggetto della conoscenza, nel c. 2 si parla di "attività o informazioni illecite" mentre nel c. 3 sec. ipotesi l'illiceità o dannosità è riferita ai contenuti del servizio: anche qui la differenza è tutt'altro che evidente. Potrebbe forse consistere nel fatto che la prima illiceità ha un riferimento soggettivo ("riguardanti un destinatario del servizio"), mentre la seconda ha un riferimento oggettivo ("carattere illecito del contenuto di un servizio") ovvero anche soggettivo ma dal lato passivo e cioè del soggetto leso ("carattere pregiudizievole per un terzo").
iii) nel c.2 lett. a) non c'è la cennata distinzione tra illiceità e dannosità, presente invece nel c. 3/sec. ipotesi;
iv) nel c.2 lett. a) c'è la locuzione avverbiale "senza indugio", che indica il tempo entro cui si deve informare l'Autorità, mentre questa manca nel c.3/sec. ipotesi.
Quindi per lo più i doveri emergenti (direttamente) dall'art. 17 c.2 lett.a), da un lato, e (indirettamente) dall'art. 17 c.3 seconda ipotesi, dall'altro, si assomigliano, seppur con qualche differenza testuale. Tuttavia eventuali doveri rientranti nella prima norma, che non rientrassero nella seconda, ugualmente sarebbero sanzionati, in caso di loro violazione, dagli artt. 2043 segg. oppure -se si opta per la responsabilità contrattuale- dagli artt. 1218 segg. Nella parte invece, in cui le ipotesi regolate dalle due disposizioni si soprappongono, la seconda (c. 3 sec. ipotesi) è probabilmente inutile, dato che la sanzione di responsabilità civile discende già dalla violazione della prima.
Le fattispecie, di cui al c. 3, non sono presenti nella dir. e sono state introdotte in ossequio alla legge delega (art. 31 c. 1 lett. l) della L. 39 del 2002). Per questo motivo potrebbe in prima battuta pensarsi ad un recepimento difettoso della dir. stessa, ma così non pare sia. O almeno non pare esserlo per il solo fatto di introdurre disposizioni non presenti nella dir., dato che, come noto (art. 288 c. 3 TFUE), la direttiva vincola sul risultato da raggiungere, mentre spetta agli Stati determinare la forma e i mezzi di attuazione. Il problema allora è quello di capire se (non in astratto ma in concreto) la disciplina nazionale de qua abbia questo effetto oppure possa essere incompatibile col risultato imposto dalla dir.
Come si è detto, la dir. pone solo un safe harbour, mentre questa norma dispone in positivo una responsabilità. Non parrebbero allora esserci incompatibilità, dato che il safe harbour non viene toccato nella sua disciplina emergente dalla dir.
Ci si può semmai chiedere se la norma in esame nella sua seconda ipotesi di responsabilità (art. 17 c.3 seconda ipotesi) abbia rispettata la delega, sopra cit., che affermava la responsabilità del provider, quando non avesse agito con diligenza. Infatti la delega imponeva di «prevedere che il prestatore di servizi è civilmente responsabile del contenuto di tali servizi ( ) se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha usato la dovuta diligenza» . Il d. delegato ha sostituito il riferimento all'uso della dovuta diligenza con il dovere di informare l'Autorità competente: o meglio può dirsi che l'abbia in tale senso precisato e concretizzato . Cosa in sé apprezzabile, data la genericità e superfluità del riferimento alla diligenza, che nulla avrebbe aggiunto all'art 2043 (o al 1176 cc). Ci si può però chiedere se in tal modo rispetti la delega (sempre che questa vada ritenuta da attuare, invece che espunta per interpretatio abrogans a causa della sua genericità, superfluità, mancanza di novità precettiva o simili). La risposta dovrebbe essere positiva, dato che l'informazione all'Autorità costituisce una forma di diligenza in situazioni come quelle de quibus . Il dubbio concerne il fatto che potrebbero ritenersi in tal modo escluse altre modalità di trattamento diligente dell'informazione da parte del provider, delle quali il provider potrà a questo punto disinteressarsi (l'unico suo dovere essendo quello di avvisare l'Autorità): la scelta del decreto delegato, però, non pare criticabile, rientrando nella discrezionalità propria di questa tecnica legislativa.
Concludo ricordando che la recente riforma del copyright (dir. 2019/790), quanto alla comunicazione al pubblico, comporta un significativo inasprimento del trattamento giuridico delle piattaforme. Resta da vedere se ciò costituisca spia di un trend generale in tale senso, anziché limitato al copyright e alla proprietà intellettuale . L'impressione è che questo trend sia assai probabile, magari sulla scia intellettuale di opinioni favorevoli a più ampi interventi regolatori delle piattaforme, costituendo la moderazione dei contenuti (speech laws) e il profilo antitrust due aspetti strettamente collegati: si tratta infatti di trend sostenuto da vari stakeholders (dottrina , Parlamento europeo , unioni sindacali sovranazionali , Autorità garanti della concorrenza ), anche se non manca qualche opinione contraria . Impressione desumibile, dunque, non tanto o non solo dalla disciplina di proprietà intellettuale, quanto, a monte, dal ruolo imprescindibile svolto dalle piattaforme per qualunque flusso comunicativo odierno, stante il loro enorme potere di mercato (e quindi pure di condizionamento sociale in genere). Il che, dato il numero limitatissimo di tali gatekeeper, inevitabilmente porta ad aggravare i loro doveri per la prevenzione delle violazioni: chiunque altro, infatti, ha armi spuntate allo scopo. In sintesi, soprattutto alla luce dei giudizi in tale senso della dottrina e delle ultime mosse dell'UE , sta diventando probabile un prossimo intervento regolatorio: resta però da vedere in che modo e da parte di chi, dato che, mentre gli intermediari digitali sono ubiqui, il potere normativo è invece rimasto statale (al massimo europeo) .
SOMMARIO: 1. Introduzione e delimitazione del tema. - 2. Il tipo di responsabilità. L'art. 2055 c.c. - 3. Responsabilità contrattuale o aquiliana? - 4. L'ambito soggettivo di applicazione. - 5. Si tratta di disciplina in negativo (esenzione da responsabilità), non affermativa di responsabilità. - 6) Le tre figure tipizzate e il problema della pretesa passività del provider. - 7. La pretesa passività e l'attuale modello di business delle piattaforme. - 8. Non necessità del requisito di passività (pur con qualche dubbio). - 9. Ancora ipotizzando di applicare il cons. 42 all'hosting provider. - 10. Alcune sentenze sul punto della pretesa necessità che si tratti di provider passivi. - 11. Sintesi del ragionamento sul tema della pretesa passività. - 12. Intermezzo su una recente e nota sentenza di Cassazione. - 13. Il provider di mero trasporto (art. 14 d. Lgs. 70/2003). L'inibitoria/injunction. - 14. Il caching provider (art. 15 d. Lgs. 70/2003). - 15. Cenni sul contenzioso intorno a queste prime figure di provider. - 16. L'hosting provider (art. 16 d. Lgs. 70/2003). Esatta attuazione delle norme europee? - 17. Esenzione da cosa? - 18. L'hosting provider può attendere fino al ricevimento di un ordine dell'autorità senza perdere il safe harbour? - 19. Posizione di garanzia? Primo arbitro tra interessi in conflitto, da dirimere con congruo bilanciamento. - 20. Inevitabilità del ruolo decisorio (e quindi censorio) su diritti soggettivi. Applicabilità dei diritti fondamentali anche verso enti privati come le piattaforme. - 21. (segue) recenti provvedimenti giurisdizionali italiani sul tema. - 22. Ancora sulla conoscenza richiesta dall'art. 16 c.1. - 23. Una ricostruzione della disciplina posta dall' art 16 c.1. - 24. L'art. 16 c.2. - 25. L'art. 16 c. 3. - 26. L'art. 17 c. 1: la non assoggettabilità a obbligo generale di sorveglianza o ricerca. 27. (segue) la sentenza Scarlet. Rilevanza dello stato della tecnologia, 28) Una recente opinione dell'AG presso la C.G. in causa C-18/18, Eva Glawischnig-Piesczek c. Facebook Ireland limited). - 29. L'inibitoria. Giurisprudenza europea in tema. - 30. L'inibitoria. Giurisprudenza italiana in tema. - 31. (segue:) l'ingiunzione c.d. dinamica. - 32. Sintesi sul divieto di istituire un obbligo generale di sorveglianza o ricerca ex art. 17 c. 1. Il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland limited, C-18/18. - 33. L'art. 17 c. 2. - 34. L'art. 17 c. 3. Cambiamenti in vista per la disciplina del safe harbour?
1. Introduzione e delimitazione del tema
In questo scritto esamino i principali profili di responsabilità civile degli internet provider in relazione ad illeciti generati dalla messa on line di materiali da parte dei loro utenti. Intendo il concetto di «responsabilità civile» in senso ampio e cioè riferendolo non solo al rimedio risarcitorio, come spesso si legge, ma a tutte le conseguenze previste per l'illecito civile: tra cui soprattutto l'assoggettabilità a inibitoria/injunction (a prescindere dall'esistenza di una responsabilità risarcitoria) . Questa può assumere anche un contenuto positivo appunto in termini di rimozione/disabilitazione , aspetto su cui giocano un ruolo decisivo le possibilità offerte dallo sviluppo tecnologico di un certo momento storico .
Stante la centralità dell'infrastruttura internet e dei servizi in esso presenti per qualunque attività umana o quasi, il tema, da un lato, è sempre più importante e, dall'altro, la sua disciplina giuridica non ha ancora raggiunto una soddisfacente sistemazione quanto a certezza del diritto .
Gli illeciti cagionabili dagli utenti tramite i servizi del provider possono essere di vario tipo ma soprattutto: violazione della riservatezza, violazione dell'onore o della reputazione, violazione della proprietà intellettuale (e qui particolarmente del diritto d'autore) .
Accettandosi la distinzione di base tra illecito contrattuale ed extracontrattuale, i casi normalmente considerati sono del secondo tipo (anche se nulla esclude che possano essere del primo tipo). Normalmente, infatti, la condotta lesiva tenuta non costituisce inadempimento di un'obbligazione o comunque di un dovere, sorto da una previa relazione fra le parti : basta pensare ad una diffamazione o ad una contraffazione di diritto d'autore .
Se l'utente si rende responsabile di tali illeciti, si pone il dubbio di come qualificare giuridicamente la condotta dell'internet provider, dato che la pubblicazione del materiale è avvenuta tramite il provider stesso, in qualunque forma ammessa dalle modalità di funzionamento delle piattaforme . Questo termine (platform) è preferito dalle Big Tech per definire la propria attività, allo scopo di apparire neutrali per dare meno nell'occhio e operare con minori vincoli normativi (anche se intendono al tempo stesso esercitare il potere decisionale assoluto sulla content moderation ). Possiamo accettare ad es. la definizione di piattaforme come "large technology companies that have developed and maintain digital platforms that enable interaction between at least two different kinds of actors[;] who in the process come to host public information, organize access to it, create new formats for it, and control data about it[;] and who thereby influence incentive structures around investment in public communication (including news production)" .
In ogni caso, l'applicazione del safe harbour de quo richiede che si tratti di illecito derivante dalla diffusione di "informazioni": fattispecie che non ricorre ad es. quando derivi dalla fornitura di prodotti difettosi tramite la piattaforma (Amazon), nel qual caso a quest'ultima non spetta il safe harbour (lì il § 230 CDA) . Fattispecie che ricorre invece quando la piattaforma abbia un minor coinvolgimento rispetto alla res damnosa, come succede se si limita ad anonimizzare la navigazione nel dark web (TOR) (né vedrei alcun motivo -letterale o teleologico- per escludere l'applicazione dei safe harbour alle condotte tenute sul web non indicizzato dai consueti motori di ricerca ) o se si limita a fare da bacheca per annunci di vendita di oggetti pericolosi .
Non considererò dunque i casi, in cui il provider stesso sia responsabile o corresponsabile per aver creato e/o consapevolmente diffuso il materiale illecito: penso non solo al caso di diffusione di materiale proprio, ma anche alla funzione c.d. Auto complete, che i motori di ricerca solitamente offrono, suggerendo, dopo le prime parole digitate, altre parole che -secondo le sue rilevazioni algoritmiche- vengono spesso digitate in abbinamento ad esse . Considererò solo i casi in cui egli sia estraneo a ciò: casi nei quali, dunque, il dovere da lui violato sia quello di filtraggio/rimozione dei materiali medesimi.
Nemmeno considererò il caso dei post temporanei (c.d. storie, stories), anziché permanenti, oggi assai diffusi su certe piattaforme (ad es. Snapchat, Instagram e -pur se poco conosciuto- Facebook). Si tratta di violazioni allo stato sostanzialmente non perseguibili, data la loro brevissima durata (di solito ventiquattro ore): la quale può però disturbare molto i titolari del diritto d'autore, ad es. quando siano caricati da influencer con larghissimo seguito oppure siano raccolti in compilation .
2. Il tipo di responsabilità. L'art. 2055 c.c.
Secondo lo scenario ipotizzabile, l'utente in un primo momento carica i materiali illeciti e il provider in un secondo momento (resta da capire esattamente quando: il punto è centrale) omette di rimuoverli. Per la precisione si dovrebbe dire che il dovere è duplice, dovendosi distinguere tra il dovere di rimuovere i materiali già caricati e (eventualmente) quello di disabilitare l'accesso per prevenire futuri caricamenti: questa distinzione, del resto, risulta in modo netto dalla normativa.
La disabilitazione dell'accesso potrebbe generare qualche problema contrattuale, poiché l'utente, che ha caricato i materiali (o forse il titolare dell'utenza dalla quale il caricamento è avvenuto), in mancanza di pattuizione specifica, potrebbe ravvisare in ciò un inadempimento al contratto: ma questo comunque riguarda il rapporto provider/utente e non il rapporto tra provider e terzo leso (che di seguito verrà per brevità indicato anche come "il soggetto leso").
In breve la responsabilità del provider per l'illecito de quo è una responsabilità omissiva, dal momento che non ha tenuto la condotta doverosa. In particolare, secondo una approfondita (e nelle sue linee essenziali condivisibile) ricerca, la condotta del provider si innesta su quella del suo utente, che la precede nel tempo. Il rapporto tra le due condotte è quello di un concorso sopravvenuto (da parte del provider) nel medesimo illecito: precisamente, all'iniziale comportamento commissivo del solo utente, segue quello omissivo da parte del provider . Scrivo "segue" perché, pur essendo il provider di fatto presente sin dall'inizio, tuttavia, in linea di massima (ma si vedrà poi qualche precisazione sul punto) nulla gli può essere inizialmente addebitato: egli infatti non ha responsabilità di controllo sui contenuti del tipo della responsabilità editoriale (artt.57 e 57 bis c. pen. e art. 11 legge 08.02.1948 n,. 47) , come era stato invece deciso nei primi interventi giurisprudenziali . Non potendoglisi quindi addebitare una violazione ab initio, gli si può però addebitare una violazione successiva, quando, pur potendo e dovendo, non ha rimosso i materiali illeciti (un'omissione, come si diceva).
Bisogna allora capire quale sia il momento, in cui sorge questo dovere di rimozione. Fino ad allora, come detto, nulla gli può essere addebitato, sicchè l'illecito è ancora monosoggettivo. Dopo quel momento, invece, l'illecito diventa plurisoggettivo, anche se con due modalità diverse: una commissiva (la prima nel tempo, dell'utente), l'altra omissiva (quella successiva, del provider). La fattispecie plurisoggettiva sarà governata dall'articolo 2055 c.c. sia perché altre norme non ci sono, sia perché qualunque violazione, se concorre causalmente a produrre il medesimo evento di danno, rientra nell'ambito applicativo della norma stessa .
Nel diritto d'autore, accenna a questa fattispecie di responsabilità l'Avvocato Generale (di seguito: AG) Szpunar in Ziggo v. The Pirate Bay (TPB), secondo cui quest'ultima piattaforma (gestore di rete peer-to-peer) realizza una comunicazione al pubblico dal momento, in cui viene a sapere dell'illiceità dei file la cui condivisione essa agevola . L'AG precisa poi che, se invece si ritiene assente la responsabilità primaria di TPB, il giudizio su una eventuale responsabilità secondaria (o indiretta) è di competenza degli ordinamenti statali, non essendo stata armonizzata . L'opinione è di dubbia esattezza, dato che la dir. 2001/29, invocata dall'AG per la sua prevalenza sulla dir. 2004/48 , parla genericamente di "violazioni" (art. 7 e art. 8): concetto la cui ricostruzione dunque può comprendere anche il profilo soggettivo e che spetterà alla C.G. A meno di distinguere tra una responsabilità primaria e una secondaria (meramente agevolativa), in tal modo escludendo la seconda dall'armonizzazione europea: solo che quest'ultima verrebbe gravemente pregiudicata se ogni questione sull'agevolazione (responsabilità secondaria o indiretta) fosse liberamente regolabile dai singoli Stati (per non dire dell'incertezza che regnerebbe sulla stessa distinzione tra responsabilità primaria e secondaria, diversamente disciplinata negli Stati UE) .
Ciò pare anzi confermato dal § 3 dell'art. 8 dir. 2001/29, invocato dal cit. § 56 delle Conclusioni dell'AG: che impone agli Stati di prevedere un'inibitoria contro gli "intermediari", i cui servizi sono utilizzati per la violazione. Da un lato, tale disposizione non necessariamente porta a contrapporre autori della violazione ad intermediari e cioè non impedisce di ritenere che i secondi possano rientrare tra i primi; dall'altro lato, anche ritenendo il contrario, il concetto di "intermediario", facendo parte del diritto UE, va interpretato dalla C.G. (è di portata così ampia che può anche comprendere TPB). La complessità del tema, però, merita specifico esame, qui non possibile.
Un profilo importante, a proposito dell'articolo 2055, è quello soggettivo, nel senso che non è chiaro se sia o meno richiesta anche la consapevolezza di compartecipare alla produzione di un danno ingiusto. Si potrebbe rispondere di si, dato che in generale ognuno deve rispondere di ciò che sa o poteva sapere, non di ciò che non poteva sapere: se il concorso ex art. 2055 costituisce un aggravio rispetto alla scelta della responsabilità (parziaria) monosoggettiva , il concorrente deve poter sapere del rischio di concorso (cioè di essere concorrente). Sembrano però più persuasive le ragioni addotte da chi nega che questo elemento soggettivo sia richiesto : ma il punto qui non è importante, dato che il provider, da quando sorge il suo dovere di attivarsi, sa per definizione della condotta del suo utente (se si accetta questo punto fermo; e d'altro canto pure l'utente per definizione sa di poter divulgare il suo post solo tramite la piattaforma).
La dottrina predetta ha evidenziato che, sia dal tenore letterale sia dalle interpretazioni fino ad oggi succedutesi, l'articolo 2055 è stato tradizionalmente studiato ed applicato a condotte contestuali; tuttavia l'a. ritiene di estenderne l'ambito applicativo anche al caso nostro, in cui la condotta imputabile di un soggetto è successiva a quella dell'altro . In effetti la norma dice semplicemente di «fatto dannoso imputabile a più persone»: la sua formulazione è dunque così lata, da permettere il concorso eventuale sopraggiunto.
Naturalmente, precisa questa dottrina, l'eventuale responsabilità solidale del provider è limitata alle conseguenze risarcitorie, derivate dalle condotte tenute dopo la violazione a lui imputabile: e cioè -lo ripeto- dopo il momento, in cui è sorto il dovere di rimozione. Non può estendersi, invece, a quelle derivate dalla condotta anteriore, le quali graveranno solamente sull'utente. E' vero che anche in queste ultime c'è il fatto materiale del provider, dato che per definizione il suo servizio è proprio lo strumento utilizzato per la violazione: tuttavia, fino a che non sorge il dovere di rimozione, il provider non è soggetto ad alcun dovere e la responsabilità è allora monosoggettiva, id est in capo al solo utente. Il che presenta due interessanti profili: i) nei rapporti interni si applicherà conseguentemente l'art. 2055 c. 2-3, secondo cui «colui che ha risarcito il danno ha regresso contro ciascuno degli altri, nella misura determinata dalla gravità della rispettiva colpa e dall'entità delle conseguenze che ne sono derivate. Nel dubbio, le singole colpe si presumono uguali»: e sarebbe interessante ragionare sul punto; ii) toccherà al soggetto leso individuare la porzione di danno imputabile alle due fasi dell'illecito (monosoggettivo/plurisoggettivo), dato che la questa distinzione ha rilevanza esterna. Se la si ritenesse invece rilevante solo internamente -cioè in sede di regresso-, allora l'illecito sarebbe ab initio plurisoggettivo: ma questo contraddirebbe il punto di partenza, in base al quale al provider non si può addebitare nulla prima del momento in cui sorge il suo dovere di rimozione/disabilitazione.
L'operazione di imputazione delle due porzioni di danno potrebbe sembrare difficile, ma non è detto che sarebbe poi così: già oggi le liquidazioni tengono conto della durata dell'esposizione on line del materiale illecito. Si tratterà quindi solamente di aggiungere al calcolo il primo periodo cioè quello dell'illecito a struttura monosoggettiva, sempre che si agisca pure verso l'utente (eventualità più che rara, a quanto consta): altrimenti si terrà conto solo dell'esposizione a partire dalla presa di consapevolezza in capo al provider (in pratica: dal suo ricevimento di comunicazione/diffida da parte del soggetto leso).
3. Responsabilità contrattuale o aquiliana?
Negli scritti in materia si dà per scontato che, oltre a quella dell'utente, anche la condotta del provider (nella ricordata modalità omissiva) costituisca una violazione del neminem laedere e quindi censurabile ai sensi del 2043 cc, in combinato disposto con le norme che pongono i diritti violati. Il punto merita un approfondimento. Se la responsabilità aquiliana consegue ad una condotta violatrice di interessi protetti in assenza di una previa relazione tra le parti, mentre quella contrattuale sorge dall'inadempimento di un dovere che legava creditore e debitore, la conclusione -tralaticia-, per cui nel caso de quo ricorre responsabilità aquiliana, è da verificare. Ed anzi si può arrivare ad una conclusione parzialmente opposta.
Il ragionamento potrebbe svilupparsi così. La condotta del provider è una condotta omissiva, nel senso che gli si addebita di non aver rimosso o disabilitato (di seguito per brevità scriverò di "rimozione/disabilitazione" per indicare le due possibilità di intervento da parte del provider indicate dalla legge ). In generale, l'obbligo violato, fonte di responsabilità contrattuale, può avere fonte pattizia o legale (l'espressione responsabilità contrattuale è una sineddoche) , nel senso che l'inadempimento in entrambi i casi è governato dagli articoli 1218 e seguenti. Quindi la distinzione si basa sulla ravvisabilità o meno di un previo rapporto tra le parti, tale per cui la condotta censurata costituisca inadempimento ad un obbligo da esso sorto .
Nel caso specifico, come detto, si parte dal presupposto per cui, fino a quando il provider non sa della violazione, nulla gli può essere addebitato; da quando sa della violazione, invece, sorge a suo carico l'obbligo di rimozione . Ne segue che, quando questo sorge, la sua violazione diventa appunto violazione di tale obbligo: il quale mira ad evitare lesioni della sfera di un soggetto ben determinato (il soggetto leso, normalmente autore della diffida). In altre parole, in assenza di un obbligo generale di sorveglianza, il dovere di rimuovere sorge solo quando gli venga segnalata una violazione specifica: violazione cioè di una situazione giuridica soggettiva protetta in capo ad un soggetto determinato . Il dovere di rimuovere, dunque, non è più una cautela a favore della collettività, come sarebbe se gravasse sul provider un dovere generale di sorveglianza (in sostanza, sarebbe allora vicina alla responsabilità editoriale): è invece un dovere che mira a tutelare specificamente la posizione del soggetto leso, la lesione della cui sfera gli è stata notificata. Questo dovere crea dunque una relazione ben individuata tra provider e soggetto leso, relazione che mira alla tutela di quest'ultimo. Ne segue che l'omissione di rimozione costituisce violazione del dovere a carico del provider e a favore del soggetto leso: quest'ultimo diventa creditore della prestazione di rimozione/disabilitazione. Più che di dovere (soggettivamente) generico, allora, è esatto parlare di obbligo (soggettivamente) specifico .
In senso contrario potrebbe dirsi che le disposizioni normative (d. lgs. 70/2003 e dir. 2000/31) non pongono un obbligo ma un onere: come si dirà poco sotto, infatti, si limitano a dire che il provider non può essere tenuto responsabile se non sa o, qualora sappia, se procede subito a rimozione/disabilitazione. Il che pare costituire un onere per la fruizione del safe harbour. Non si dice infatti -in positivo- che il provider, quando sa, deve procedere a rimozione/disabilitazione; si dice invece che così deve fare, se vuole fruire dell'irresponsabilità. Potrebbe dunque dirsi che la legge resta muta sui doveri (generici -responsabilità aquiliana- o specifici -responsabilità contrattuale-) del provider, anche dopo esser stato notiziato dell'illecito: potrebbe dirsi cioè (fermo restando che, se non rimuove/disabilita, perde il safe harbour) che egli tuttavia non avrebbe un obbligo in senso tecnico di agire in tale senso.
Tuttavia il dovere di solidarietà, che innerva tutti i rapporti sociali, porta ad una conclusione diversa. Visto che dipende da lui e solo da lui la protrazione della condotta illecita (e la produzione di eventuali danni ulteriori al soggetto leso), il provider deve attivarsi per farla cessare. La diligenza professionale -che gemma da tale solidarietà- implica che nello svolgimento della propria attività il professionista si sforzi di non causare danno ai terzi con cui viene a contatto.
A ciò induce pure la considerazione complessiva delle disposizioni de quibus. Queste, pur mirando ad alleggerire e chiarire gli obblighi dei provider, hanno ritenuto di negare il safe harbour quando egli, pur sapendo di uno specifico fatto lesivo, non abbia rimosso o disabilitato. Se ne deduce che questa omissione è ritenuta grave dall'ordinamento: per cui è incongruo ravvisare solamente l'effetto della perdita del safe harbour e non anche l'illiceità (e la conseguente soggezione ai pertinenti rimedi). Che le disposizioni europee si siano limitate a porre una disciplina in negativo (safe harbour) deriva probabilmente dalle rilevanti difficoltà di conciliare ordinamenti diversi su un tema complesso come la responsabilità civile, seppur solo per l'attività degli ISP: optandosi quindi per un'armonizzazione più limitata, consistente nella perimetrazione appunto di un'esimente e cioè di un'area sicura per gli operatori del settore .
In breve, che un dovere di agire nel senso della rimozione/disabilitazione vi sia, non dovrebbe essere dubbio, quantomeno come dovere di cautela generica ex art. 2043. La condotta del provider infatti per definizione corre -sotto il profilo materiale- con quella dell'utente nel produrre il fatto dannoso (art. 2055): per cui l'omessa rimozione/disabilitazione, dopo l'avviso, costituisce negligenza. Il problema è piuttosto come costruire questo dovere e cioè se erga omnes oppure solo verso il soggetto leso. Se fosse giusta la seconda ipotesi, dovremmo optare per la responsabilità contrattuale: sarebbe incongruo rimanere nell'ambito aquiliano, quando il comportamento da tenere è già orientato verso la tutela di una ben precisa sfera individuale .
In altre parole, ritenere che il dovere rimanga tra quelli generici, propri della responsabilità aquiliana, non soddisfa. Il provider, quando è avvisato del file illecito presente sui suoi server, non può più ritenersi gravato verso il soggetto leso dallo stesso dovere di neminem laedere, che ha verso il resto della collettività (o meglio verso il resto delle persone, i cui dati sono trattati nei file da lui ospitati). Il suo rapporto con la sfera del soggetto leso è assai diverso da quello che ha con questi ultimi, dato che il primo infatti si staglia nettamente nella folla indistinta dei secondi. Il dovere di rimozione/disabilitazione allora si precisa e concretizza a favore di uno soggetto determinato, di cui il provider viene a conoscere -combinando l'esame della diffida con quello del file illecito - nome, cognome, situazione giuridica lesa, modalità lesiva e magari altri dati ancora (posizione giuridica, posizione sociale...). Il contatto tra il primo e il secondo è dunque ben più consistente di quello tipicamente aquiliano: il quale può forse consistere anche in qualcosa di più della "responsabilità del passante", ma non arrivare al punto da comprendere quello in cui l'autore della condotta dannosa può fare quella valutazione personalizzata (non generica, come quella ipotizzabile in astratto erga omnes) della sfera altrui, coinvolta dal suo agire commissivo od omissivo, che sta alla base della diversa disciplina contrattuale rispetto a quella aquiliana. Si pensi al mancato richiamo nell'art. 2056 dell'art. 1225, che limita il danno a quello prevedibile al momento del sorgere dell'obbligazione: è ingiusto infatti gravare il debitore di ciò che, secondo un criterio di normalità, non poteva prevedere , dovendosi rispettare solo il programma contrattuale o lo scenario che le parti si erano prospettate esplicitamente o implicitamente quando fecero sorgere l'obbligo . Criterio che non vale per l'illecito aquiliano, in cui non ricorre alcun impegno determinato e dunque alcuna normalità prevedibile . Se così è, il provider, quando viene notiziato e intimato di procedere a rimozione/disabilitazione perché un file da lui ospitato viola un certo diritto in capo ad un soggetto determinato, può fare il calcolo di costi e benefici delle alternative del suo agire: il suo dovere di rimuovere/disabilitare è a favore di un soggetto preciso, non della indistinta massa dei cives. Ricorre insomma quel "rischio specifico" che permette di ricondurre il contatto de quo alla responsabilità contrattuale, invece che a quella aquiliana . Quest'ultima è caratterizzata dall'assenza di obblighi verso persone determinate, sicchè chi non è da essi vincolato è libero, fino a quando leda il diritto altrui (tranne l'inibitoria): lesione che determina il sorgere dell'obbligazione (risarcitoria) . Ebbene, stona riconoscere questa libertà al provider, dopo che è stato notiziato della lesione arrecata da file presenti sul suo server.
C'è una differenza rispetto ai casi consueti di obbligazione senza prestazione, sorta da contatto sociale. In questi infatti il contatto è allacciato dalla parte poi lesa, la quale legittimamente "si affida" all'altro; nel caso nostro, invece, l'affidamento non sorge da previo contatto, allacciato dal soggetto leso, ma è creato dalla legge e cioè dal dovere di solidarietà costituzionale gravante su chi, pur non essendo l'originario uploader, può tuttavia bloccare senza fatica la permanenza dell'illiceità. Inoltre nel caso de quo la condotta dovuta, che soddisfa l'affidamento, consiste non nell'informare ma nel rimuovere. L'ordinamento non resta impassibile di fronte alla situazione, in cui il rischio di danno sorge dall'attività di un preciso soggetto (internet provider), il quale quindi può governarlo ed anzi azzerarlo: l'art. 2 Cost. gli impone allora quel minimo comportamento collaborativo, che, se a volte può consistere in un mero dovere di informazione , nel nostro caso consiste nella rimozione/disabilitazione.
Potrebbe dirsi in senso contrario che, per costruire un dovere di attivarsi, servisse una norma specifica e/o espressa: la quale, in altre parole, sarebbe necessaria per ritenere illeciti i contegni omissivi. Ciò soprattutto a tutela della libertà personale, che potrebbe essere pericolosamente ridotta dalla ravvisabilità di doveri di azione impliciti, invece che espliciti: questa è la ragione per cui -secondo l'art. 23 Cost.- "nessuna prestazione personale o patrimoniale può essere imposta se non in base alla legge". Quella addossata al provider sarebbe appunto una prestazione personale.
Il punto è delicato, essendo la libertà bene preziosissimo: pare però che il garantismo liberal-ottocentesco possa essere in certi casi superato. L'art. 1173 c.c, ad es., non si riferisce più alla "legge" ma al più ampio concetto di "ordinamento giuridico", nel quale rientrano oggi anche i principi costituzionali, tra cui quello di solidarietà e di rispetto di sicurezza, libertà e dignità umana . Da questi può farsi sorgere un dovere di azione in casi come quello de quo, poiché attendere la lesione dannosa, per potersi difendere, pare difforme dai principi medesimi. Il danno da attesa per il soggetto leso può essere molto rilevante, mentre è minimo per l'internet provider quello del doversi attivare (anche perché può cautelarsi redigendo opportuni moduli, quando allaccia rapporti contrattuali con i suoi utenti): per questo il bilanciamento è a favore del soggetto leso. Non si tratta qui tanto di bilanciamento tra due sfere toccantesi, per vedere se il danno cagionato da una verso l'altra sia ingiusto; si tratta di bilanciarle per vedere se ex ante -cioè prima che un danno sorga o si estenda- possa ravvisarsi un'obbligo di attivarsi per evitare il danno (o il suo incremento), altrimenti assai probabile e spesso (diffamazione) di fatto non più eliminabile né ristorabile.
Ci sono del resto diverse norme che interessano il discorso che si va conducendo, che richiederebbero esame analitico, qui non possibile. Mi limito qui ad elencarne alcune:
1) dovere di prestare assistenza o avvisare l'autorità, penalmente sanzionato dal reato di omissione di soccorso, art. 593 c. 1-2 c. pen.;
2) potere di Consob di ordinare l'oscuramento telematico di chi «offre o svolge servizi o attività di investimento senza esservi abilitato» (art. 36 c. 2 terdecies d.l. d. l. 34 del 30.04.2019 (conv. da legge n. 58 del 28 giugno 2019).
3) potere del Ministero Finanza-Monopoli si Stato di ordinare l'oscuramento (in modalità lasciate a decreti successivi) in caso di attività di gioco on line non autorizzate (art. 1 c. 50-50 quater, L. 27-.12-2006 n. 296, finanziaria 2007)
4) potere dell'autorità giudiziaria procedente di ordinare l'oscuramento di siti internet in tema di terrorismo internazionale (art. 2 c. 3-4 d.l. 18.02.2015 n. 7 conv. da L. 17.04.2015 n. 43).
5) diritto di chiedere l'oscuramento in caso di cyberbullismo con seguente possibilità -in casi di omissione- di adire il Garante privacy (art. 2 l. 71 del 29.05.2017) .
6) qualificazione imperativa di illiceità nella condotta del provider del mero conservare file illeciti, caricati dagli utenti, sui propri server contenute nell'art.17 della dir. copyright 2019/790: è stabilito di imperio che ciò costituisce comunicazione al pubblico (a meno che riesca a liberarsi provando l'esistenza dei requisiti del § 4) (su ciò v. l'ultimo paragrafo)..
I casi da 2-3-4 pongono doveri pubblicistici, a tutela preventiva della collettività indistinta, per cui non ci interessano direttamente. I casi 1 e 5 invece pongono doveri a protezione di soggetti determinati. Se il caso sub 1 è dubbio fuoriesca dalla responsabilità aquiliana, il caso sub 5 invece dovrebbe rientrare in quella contrattuale: il dovere di provvedere, la cui omissione permette i poteri sostitutivi del Garante, riguardando un dovere giuridico verso un soggetto determinato e non verso la collettività indistinta, è del tutto analogo al nostro caso : gli si può infatti applicare il ragionamento di cui sopra, che fa propendere per una responsabilità contrattuale. Circa il caso sub 5, però, può sorgere il dubbio che non vi sia un obbligo in senso tecnico in capo al provider, data l'equivoca formulazione e l'assenza apparente di sanzioni per il caso di inottemperanza: la disciplina potrebbe far pensare ad una mera condizione di procedibilità, per chiedere poi al Garante l'esercizio dei poteri di intervento. Se la ragione è quella di economia procedurale, e cioè di tentare le vie brevi prima di mettere in moto il procedimento amministrativo presso il Garante, pare ugualmente incongruo rimettere alla potestatività mera del provider la scelta del se accogliere o meno l'istanza. Parrebbe dunque sensato ravvisare un obbligo .
Pecca dunque di precisione un provvedimento di merito del 2015, pur interessante per i riferimenti tecnici alle possibilità di filtraggio e per alcuni condivisibili affermazioni ad esso legate: «Non pare inopportuno, poi, rammentare che la relazione che lega il titolare del diritto di proprietà intellettuale violato e il fornitore di servizi della società dell'informazione, non vincolati fra loro da alcun rapporto contrattuale, va collocata sul piano extracontrattuale e pare opportunamente catalogabile in termini di relazione da "contatto sociale", chiamando così i soggetti interessati a comportarsi secondo correttezza e buona fede, in prospettiva solidaristica, con la consapevolezza del carattere funzionale dei diritti riconosciuti dall'ordinamento (cfr. art.2 Cost.) che limita intrinsecamente il loro agire alla luce del dovere generale di protezione dei diritti altrui. (..) Nella gestione del contatto sociale le parti sono chiamate a interagire, in prospettiva solidaristica, e quindi proteggendo gli interessi altrui, ove ciò sia possibile senza consistente pregiudizio dei propri, rifuggendo da declinazioni emulative dei propri diritti e garanzie che l'ordinamento riconosce loro in un'ottica funzionale e sociale» . Parlare di responsabilità da contatto sociale come applicazione di responsabilità aquiliana è sorprendente, anche se ha qualche antecedente giurisprudenziale . La teoria del contatto sociale, infatti, consiste proprio nel portare una fattispecie di per sé aquiliana -per assenza di titolo contrattuale- in ambito contrattuale: ciò a causa del legame particolare e stretto, fonte di affidamento, tra il soggetto leso e l'autore della lesione , ovvero per la particolare prossimità del soggetto leso con l'ambito esecutivo di una prestazione, che l'autore della lesione stava rendendo ad un creditore terzo , prossimità che deve essere intenzionale . Ebbene, un tale atteggiamento psichico è assente nel rapporto de quo: non esiste alcun volontario affidamento, né alcuna voluta prossimità intenzionale del soggetto leso verso la piattaforma. A parte ciò, secondo quanto appena osservato, il provider viola un obbligo già sorto verso un soggetto determinato, il quale diviene creditore della prestazione di rimozione/disabilitazione: non potendosi, dunque, parlare più di responsabilità aquiliana bensì di obbligazione ex lege.
E' dubbio che sia esatto ricorrere alla categoria della responsabilità (contrattuale) da contatto sociale anche perché questa di solito concerne casi, in cui il terzo è esposto a pericoli di danno uguali a quello di uno dei contraenti: qui invece l'utente utilizza i servizi del provider proprio ed unicamente per violare la sfera del soggetto leso. Quindi non ricorre l'esigenza di estendere la (più soddisfacente) tutela ex contractu, spettante al contraente, ad un soggetto terzo, che -per le circostanze del caso- si trova esposto al medesimo tipo di rischio di danno cui è esposto il contraente stesso. Pur tuttavia, come sopra, detto può ravvisarsi un obbligo in senso tecnico di rimozione/disabilitazione a carico del provider.
In quanto responsabilità contrattuale, si applicheranno le regole di cui all' articolo 1218 e seguenti, che in parte differiscono da quelle aquiliana. Le principali differenze, scolasticamente ripetute, riguardano: i) limitazione della responsabilità contrattuale ai danni prevedibili, tranne che ricorra dolo, art. 1225, non richiamato dagli artt. 2043 ss; ii) il termine prescrizionale, decennale per la responsabilità civile e quinquennale per la responsabilità aquiliana, art. 2947 cc; iii) la messa in mora, non necessaria quando si tratta di fatto illecito, art. 1219 c. 2 cc. La differenza non riguarda invece il giudizio di colpa/negligenza, la quale è sempre costituito dalla violazione della normale diligenza .
Circa l'art. 1225 va però segnalato che la regola del risarcimento limitato ai danni prevedibili non opera, se si segue la tesi per cui il provider, qualora non provveda a rimozione/disabilitazione una volta notiziato, è da ritenersi in dolo . La tesi, ad una prima riflessione, non pare persuasiva, se si accetta che il concetto di dolo civilistico si modella su quello penalistico. Nell'art. 43 c.1. c.p., da un lato, «la qualificazione dolosa del reato rimanda espressamente all'intenzione e i poli costitutivi della responsabilità dolosa sono dati dalla previsione e dalla volizione dell'evento. Atteso che la previsione di quest'ultimo è compatibile anche con la responsabilità colposa (nella forma cosciente), la volizione dell'evento rappresenta la vera cifra identificativa del dolo» ; dall'altro, il giudizio non cambia in relazione ai reati omissivi, propri o impropri . L'evento, nel caso di domanda risarcitoria, è il danno-conseguenza (ma nulla cambierebbe riferendoci al danno-evento): per cui è ben difficile sostenere che il provider abbia voluto arrecare danno al soggetto leso . Ciò vale, a meno di ravvisare la figura del dolo eventuale, che ricorre quando, pur non volendo l'evento, tuttavia si continua ad agire accettandone il rischio: in tale ipotesi effettivamente si potrebbe sostenere che proprio questa è la fattispecie che ricorre quando il provider, pur notiziato, non rimuova e/o disabiliti. Ad es. potrebbe dirsi che l'inadeguata organizzazione del provider, con una scadente catena informativa (tra addetti al ricevimento comunicazioni esterne e decisori), tale da portare all'omissione, costituisse inefficienza tollerata proprio per non subire incrementi di costi: in tale caso sarebbe difficile disconoscere il dolo eventuale. Come del resto ed in generale può dirsi per tutti i casi in cui si omette la rimozione/disabilitazione, per trarre un eventuale maggior lucro dalla permanenza del file contestato come lesivo o perché il soggetto leso è più "potente" e/o rinomato dello sconosciuto uploader.
Questo naturalmente non impedisce che il concorso sia regolato dall'articolo 2055, dal momento che -come detto- la disposizione regola il concorso di qualunque condotta, a prescindere dalla sua qualificazione in termini aquiliani o contrattuali, come viene comunemente ammesso.
4. L'ambito soggettivo di applicazione
La normativa specificamente dedicata a questo argomento è stata oggetto di armonizzazione europea ad opera della nota direttiva 31 dell'8 giugno 2000, recepita da noi con il decreto legislativo 70 del 9 aprile 2003 (di seguito: dir. 2000/31).
la disciplina sul punto specifico è posta dagli articoli 14-17 del d. lgs. cit.. Negli articoli 14-16 sono regolate tre figure di internet provider, mentre l'articolo 17 pone il divieto di assoggettare il provider ad un obbligo generale di sorveglianza (oltre ad altri precetti). Quest'ultimo divieto concerne tutte e tre le figure predette e si applica a prescindere dal fatto che beneficino o meno dell'esenzione di cui agli artt. 14-16 : basta che il tipo di attività svolta -quella considerata volta per volta, potendo egli svolgere più tipi di attività contestualmente- rientri nei concetti di access-mere conduit/caching/hosting. La Corte di Giustizia (di qui in poi: C.G.) ha precisato che un dovere di monitoraggio generale contrasterebbe pure con l'art. 3.1 della dir. 2004/48 (misure leali ed eque) : il che allora lo estende a tutta la proprietà intellettuale (o quella regolata dalla dir. cit.), on line oppure offline , come sostanzialmente riaffermato poi in Tommy Hilfiger+5 c. Delta Center .
L'ambito soggettivo di applicazione degli artt. 14-17 è quello dei prestatori di un "servizio della società dell'informazione", che trova una definizione nell'art. 2 c. 1 lett. a): «"servizi della società dell'informazione": le attività economiche svolte in linea -on line-, nonché' i servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e successive modificazioni;» . La definizione della dir. 31/2000 (art. 2 lett. a), invece, avviene tramite rimando alla dir. 98/34 (modificata dalla dir. 98/48), il cui art. 1 punto 2 recita: « «servizio»: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si intende: «a distanza»: un servizio fornito senza la presenza simultanea delle parti; «per via elettronica»: un servizio inviato all'origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento (compresa la compressione digitale) e di memorizzazione di dati, e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici; «a richiesta individuale di un destinatario di servizi »: un servizio fornito mediante trasmissione di dati su richiesta individuale». Il nostro requisito dell'«economicità» dell'attività voleva probabilmente recepire quello europeo della "prestazione normalmente dietro retribuzione" (il cons. 18 dir. 31/2000 parla di "attività economiche", anche se è da vedere la corrispondenza con l'uguale concetto interno). "Economicità" potrebbe -in prima battuta- interpretarsi come la teoria dell'imprenditore interpreta il riferimento all'attività economica, presente nell'art. 2082 cc e cioè nel senso per cui non è necessario il fine di profitto, bastando il programmato pareggio dei costi (c.d. metodo economico): non potendosi ravvisare economicità -in breve-, se si deve programmaticamente (cioè ex ante) ricorrere a sovvenzioni esterne per garantire la sostenibilità dell'attività . Potrebbe però osservarsi che tale impostazione "nazionale" rischia di essere diversa dalla norma europea, la quale non solo non menziona il termine "impresa" , ma palesemente si disinteressa dell'adozione o meno (ex ante) del metodo economico: secondo la dir., infatti, basta che si tratti di un servizio, che la politica aziendale vuole "normalmente" retribuito, a prescindere dal suo ammontare e cioè dalla sua idoneità (ex ante, prospetticamente) a coprire quanto meno i costi. Pertanto il recepimento restringerebbe il concetto di "servizi della società dell'informazione" rispetto alla disposizione europea (richiedendo il metodo economico, che la dir. non prevede) e perciò ne restringerebbe l'ambito applicativo: con qualche problema di (in-)esatta attuazione nazionale. A parte ciò , il recepimento pare corretto (anche se qualche osservazione critica non sarebbe difficile da immaginare), tranne che per l'omesso riferimento all'avverbio "normalmente". Questo permette di includere nell'ambito applicativo della dir. anche i servizi che "talora" (cioè "non di norma") son forniti gratuitamente, rectius liberalmente : possibilità che forse esiste anche nel recepimento nazionale, dato che possono pure essi venire compresi nel metodo economico, il quale appunto, non mirando al profitto, può fare varie scelte di business e cioè compensare operazioni profit con operazioni non profit , anziché solamente fissare ex ante una volta per tutte prezzi (sperabilmente) profittevoli.
Sia nel testo europeo che in quello italiano manca il riferimento a due elementi della definizione codicistica dell'imprenditore ex art. 2081: la professionalità e l'organizzazione, solitamente intesi il primo come sinonimo di abitualità o non sporadicità e il secondo come necessità di un minimo di eteroorganizazione (l'attività del titolare non può essere l'unico elemento) . Si deve prendere atto che non sono necessari: quello che conta è che l'interprete riesca a ravvisare la prestazione di un'attività economica o (secondo la disposizione europea) di un servizio, fermi gli altri requisiti della fattispecie .
5. Si tratta di disciplina in negativo (esenzione da responsabilità), non affermativa di responsabilità
Le tre figure di provider sono regolate non in positivo, bensì in negativo. Non si dice infatti quando sono responsabili, bensì si delimita un'area, in cui non possono essere ritenuti responsabili: area costituita dal rispetto delle condizioni ivi fissate . La formulazione sia del testo italiano sia della direttiva è univoco in questo senso, laddove così recita: "Nella prestazione del servizio il prestatore non è responsabile delle informazioni trasmesse/della memorizzazione/delle informazioni memorizzate.. a condizione che:.." (così l'incipit degli art. 14-16 e analogamente nella dir.). Pertanto, una volta esclusa l'applicabilità delle esimenti specifiche, non è detto che il provider diventi automaticamente responsabile o -meglio- che abbia agito in violazione (la responsabilità sorge solo in presenza di danni provati e causalmente ricollegabili): la sua posizione, infatti, andrà scrutinata in base alla disciplina comune, la quale potrebbe -ad es. e almeno in linea teorica- permettere di invocare qualche esimente generica (adempimento di dovere, stato di necessità, consenso dell'avente diritto etc.) .
Su questo profilo sorvola certa giurisprudenza, ad es. quando, con poca precisione, dopo aver rilevato che il d. lgs. 70/2003, pur se non applicabile a Wikipedia perché stabilita in paese non appartenente allo S.E.E. (art.1 c.2 lett. d) , tuttavia contiene "le necessarie direttrici giuridiche di riferimento per l'inquadramento della fattispecie. Analogamente e conformemente pertanto a quanto previsto negli artt. 16 e 17 del D. L.vo 70/2003 e sulla base dell'elaborazione giurisprudenziale formatasi sul tema ( ), la responsabilità dell'Internet Service Provider deve ritenersi sussistente per le informazioni oggetto di hosting (memorizzazione durevole) soltanto allorquando il provider sia effettivamente venuto a conoscenza del fatto che l'informazione è illecita e non si sia attivato per impedire l'ulteriore diffusione della stessa e ciò in assenza di un generale obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite, né potendo ritenersi integrata alcuna posizione di garanzia, in assenza di norme che radichino la responsabilità oggettiva o di posizione del provider o l'esistenza in capo allo stesso di un obbligo di controllo" . La sentenza dunque da un lato estende per analogia la regola di matrice europea ad un provider, che non vi è soggetto, e dall'altro fa dir loro più di quel che in realtà dicono. Infatti fa intendere che il requisito (assenza di conoscenza o pronta rimozione), che nella prima è posto in positivo e cioè per fruire del safe harbour, viene qui usato in negativo e cioè per ravvisare l'illecito, nel senso che, quando non ricorre (perché il provider sa e non agisce), questi sarà per ciò solo responsabile.
La natura di norme, che si limitano ad escludere l'illiceità, come si è accennato, vale in teoria. In pratica, sarà improbabile che la non fruibilità del safe harbour porti ad un giudizio di liceità della condotta del provider: le condotte menzionate per il safe harbour, infatti, costituiscono -in generale - anche concretizzazione di diligenza, per cui non adottarle costituirà spesso negligenza . Altra dottrina concorda sul punto .
6. Le tre figure tipizzate e il problema della pretesa passività del provider
Le figure considerate sono quelle: i) del provider che svolge attività di semplice trasporto (o di fornitura di accesso alla rete), ii) del provider che svolge un'attività di memorizzazione solo temporanea; iii) del provider che svolge un'attività di memorizzazione permanente, cosiddetto hosting provider.
In generale -nel senso che il principio vale per qualunque tipo di provider- l'esimente (deroghe alla responsabilità) opera quando il ruolo del provider è solo "tecnico automatico e passivo" (cons. 42 dir. 31/2000): così almeno si legge spesso. Vale la pena di soffermarvisi, dato che tocca una delle questioni più dibattute nelle aule giudiziarie: e del resto è solo qui che la dir. adopera l'aggettivo "passivo", cui viene poi data grande importanza da parte della giurisprudenza e dottrina italiana , per riassumere le caratteristiche dei provider necessarie per fruire delle esimenti.
Ebbene secondo il cons. 42), «le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l'attività di prestatore di servizi della società dell'informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate.». La "disposizione" (se può parlarsi di disposizione per un precetto che figura solo in un considerando) è comprensibile: nel triplice conflitto di interessi considerato dal legislatore (diritto di espressione, di informazione e di essere informati; diritto di impresa del provider; diritto all'onore o di IP, incluso il right of publicity , di chi può venir leso dalla attività on line altrui) , l'esenzione da responsabilità per questa industria -a quel tempo allo stato quasi nascente - ha senso solo se i provider non influiscono sui contenuti e si limitano a fornire un servizio tecnico. Incredibilmente l'indagine, condotta dall'US Copyright Office sull'applicazione del § 512 DMCA e conclusasi nel maggio 2020, considera solo gli ultimi due interessi e dimentica il primo (quello della collettività ad esprimersi e ad essere informata) .
Questa precisazione è spesso utilizzata per escludere il safe harbor per quegli hosting providers, i quali svolgono attività, che i giudici ritengono eccedere quella di ruolo automatico e passivo: in particolare perché indicizzano, organizzano e promuovono i materiali caricati dagli utenti proponendoli ad altri navigatori allo scopo di trarre profitto , soprattutto in tema di violazioni di diritto d'autore . Se però si legge con attenzione il cons. 42, la plausibilità dell'esposto ragionamento appare non poco incerta. E' vero che il suo incipit sembra riguardare tutte le esenzioni poste dalla direttiva e cioè tutti e tre i tipi di internet provider. Successivamente, però, il primo periodo del cons. si riferisce solo all'access-mere conduit e al caching, mentre non vi rientra l'hosting provider . L'espressione «processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione», infatti, è difficilmente -molto difficilmente- riferibile alla memorizzazione duratura, tipica dell'hosting provider. Del resto l'incipit del cons. 42 afferma senza mezzi termini che è «esclusivamente» in tali casi che i provider possono fruire del safe harbor posto della direttiva stessa: per cui l'hosting, sotto un profilo letterale, sarebbe escluso dal safe harbour. Inoltre il secondo periodo, contenente la famosa espressione "Siffatta attività è di ordine meramente tecnico, automatico e passivo", si riferisce appunto a "siffatta attività" e cioè a quella indicata nel primo periodo, il quale, come appena detto, non include l'hosting provider. In breve, il cons. 42 si riferisce ad access-mere conduit e a caching provider, non all'hosting provider .
Tuttavia poi l'articolato prevede all'articolo 14 appunto la figura dell'hosting provider: sembra quasi che quest'ultima tipologia sia stata aggiunta in un momento successivo, rispetto ad una prima redazione che non l'includeva, senza aggiornare il considerando .
In altre parole il cons. 42 dice cose assai diverse da quelle dette in parte qua dall'art. 14: non può dunque ravvisarsi nel primo una mera precisazione o esemplificazione della regola posta dal secondo. Il cons. 42 non può dunque riferirsi all'art. 14, dato che altrimenti le regole previste nel primo avrebbero dovuto essere riprodotte in qualche modo (anche se non negli stessi esatti termini, ma in modo inequivoco) nel secondo. In un caso come questo può insomma operare il brocardo ubi lex voluit dixit, ubi noluit tacuit: è infatti secondo ragione pretendere che una così importante regola, come quella dei requisiti menzionati dal cons. 42, sia presente anche nell'articolato, senza essere lasciata nel limbo dei considerando. Il che può dirsi allora per il recepimento nazionale: anche il d. lgs. 70/2003 si è astenuto dall'introdurla per l'hosting nell'art. 16 (possiamo applicare il predetto brocardo al quadrato!). Ebbene, se in due occasioni di normazione i requisiti, di cui al considerando, non sono entrati nell'articolato (né europeo, né nazionale), allora significa che non sono stati voluti.
Resta allora da capire meglio la portata del considerando 42, se si concorda che sotto il profilo letterale non si riferisce all'hosting provider .
A conferma di ciò, si osservi che, da un lato, gli artt. 12 e 13 dir. 2000/31 regolano probabilmente il safe harbour in termini generali ed astratti, senza riferimenti alla lite specifica: in tal senso è pure la lett. e) dell'art. 13, che condiziona il safe harbour alla coerenziazione/aggiornamento dei dati di cache rispetto alla fonti originarie. Dall'altro, invece, l'art. 14 lo fa riferendosi alla condotta tenuta nello specifico caso sub iudice: è solo se l'hosting provider non sa della specifica illiceità lamentata o se, sapendolo, provvede a rimozione/disabilitazione, che può fruirne. Se questo è esatto, risalta ulteriormente l'incongruenza tra hosting provider e il cons. 42: quest'ultimo, infatti, si riferisce alle condotte in generale tenute dal provider, cioè al suo modello di business, non a quelle tenute in una determinata vicenda storico-processuale.
7. La pretesa «passività» e l'attuale modello di business delle piattaforme
Si potrebbe superare il dato letterale e riferirlo pure agli hosting provider, sulla base dell'argomento, per cui esprime un'esigenza generale, nel senso che vada riferita a chiunque voglia fruire di un safe harbour per il caso di commissione di illeciti da parte dei suoi utenti. In alternativa si potrebbe invece far governare la fattispecie dell'hosting provider solamente dall'art. 14 dir. 31/2000 (e art. 16 d. lgs. 70/2003): soddisfatto quanto ivi richiesto, null'altro gli è richiesto per godere dell'esenzione . Come detto sopra, infatti, in detti articoli non ci sono regole o requisiti equivalenti a quelli del cons. 42 .
Se si ipotizza di applicare il cons. 42 all'hosting provider, serve un ragionamento più approfondito. Teoricamente il servizio di hosting potrebbe effettivamente limitarsi a dare ospitalità ai materiali caricati o, per i motori di ricerca, a soddisfare le ricerche producendo un elenco di risultati. In tale caso però dovrebbero sostenersi facendo pagare un corrispettivo. Invece la scelta è stata quella di offrirli in modo (apparentemente) gratuito al grande pubblico (per questo chiamati siren servers ) e di riservare invece la richiesta di compenso per servizi aggiuntivi a coloro cui vengono forniti (inserzionisti, per lo più imprese) o comunque a coloro a favore dei quali vengono utilizzati i dati personali di chi naviga o ricerca "gratuitamente": "Google.. sussidia gli utenti mettendo a disposizione un ampio portafoglio di servizi gratuiti (ricerca, email, ) e rivende la loro attenzione agli inserzionisti pubblicitari con un pagamento «a risultato» (pay-per-click)" (potrebbero però esservi dei servizi aggiuntivi "premium" a pagamento , magari privi di inserzioni pubblicitarie ). E' noto però che, circa tutela della data protection, la natura del consenso espresso è discussa (per non dire che taluno muove critiche radicali alla scelta del consenso come baluardo della privacy) . E' stato osservato che questo modus operandi sia frutto di un mutamento del modello di business: inizialmente Google (che fece da battistrada, gli altri seguirono) intendeva offrire servizi a pagamento, ma senza pubblicità, e solo dopo scelse l'opposta soluzione .
Se si tiene conto di ciò, è ovvio che il provider spingerà al massimo per la fruizione dei contenuti caricati dagli utenti: da un lato, è proprio così che vengono raccolti i dati (le tracce) lasciate dai navigatori ì/fruitori e, dall'altro la maggior permanenza in rete aumenta gli spazi pubblicitari . I likes (ora gli emojis) di Facebook, ad es., solo apparentemente sono un modo per esprimere giudizi o sentimenti verso altre persone: in realtà sono stati creati per tracciare in modo sempre più preciso l'utente, senza il fastidio e l'impegno che avrebbe creato l'analisi di centinaia di post di commento . Facebook lo dice apertamente, ad es. nei documenti allegati al bilancio, con dichiarazione che vale la pena di riportare: «The size of our user base and our users' level of engagement are critical to our success. Our financial performance has been and will continue to be significantly determined by our success in adding, retaining, and engaging active users of our products, particularly for Facebook and Instagram. We anticipate that our active user growth rate will continue to decline over time as the size of our active user base increases, and it is possible that the size of our active user base may fluctuate or decline in one or more markets, particularly in markets where we have achieved higher penetration rates....If we are unable to maintain or increase our userbase and user engagement, our revenue and financial results may be adversely affected. Any decrease in user retention, growth, or engagement could render our products less attractive to users, marketers, and developers, which is likely to have a material and adverse impact on our revenue, business, financial condition, and results of operations. If our active user growth rate continues to slow, we will become increasingly dependent on our ability to maintain or increase levels of user engagement and monetization in order to drive revenue growth» . Impostazione che soddisfa (o dovrebbe soddisfare) sia l'utente, proponendo contenuti "gratuiti" analoghi a quelli già visti e dunque presumibilmente graditi, sia i venditori, indirizzando le loro proposte di vendita verso i navigatori che -dai dati ubiquamente raccolti- risultano più probabilmente interessati . Si chiama stickiness, cioè appiccicosità: la capacità delle aziende di attrarre gli utenti, di farli rimanere il più a lungo possibile e di farli tornare più e più volte ; cosa che tra l'altro ha indotto un a. a ravvisare un regresso verso posizioni passive (push invece che pull, lean back invece che lean forward, passive invece che active) dell'audience rispetto ai mezzi di comunicazione antecedenti e soprattutto rispetto alla televisione . E' stato significativamente osservato che «accumulare un pubblico on-line e come pompare aria in un pallone con una lieve perdita. Bisogna continuare a pompare per mantenere un livello costante di investimento, altrimenti il lavoro precedente si perde rapidamente. questi costi indiretti di distribuzione non sono opzionali per un sito di informazione o un blog mantenere un livello di stickiness superiore alla media è una questione di vita o di morte» . Ciò permette la c.d. profilazione, la quale è "una tecnica di trattamento (parzialmente) automatizzato di dati personali e/o non personali, finalizzata alla creazione di conoscenza predittiva mediante la scoperta di correlazioni tra i dati e la costruzione di profili, che possono essere poi utilizzati per assumere decisioni. Un profilo è un insieme di dati correlati che rappresentano un soggetto (individuale o collettivo). La costruzione di profili è il processo di scoperta di schemi ricorrenti e sconosciuti tra i dati, all'interno di grandi insiemi di dati, che possono essere utilizzati per creare profili. L'applicazione di profili consiste nell'identificazione e rappresentazione di uno specifico individuo o gruppo come corrispondente a un determinato profilo, e nel processo decisionale basato su tale identificazione e rappresentazione" . I dati sono raccolti in qualunque modo, sia in proprio sia acquisendoli da terzi , al punto che tale massiccia e continua attività -quale corrispettivo non monetario della fruizione di servizi internet- è stata qualificata come «tecnofeudalism» , perché ricorderebbe il rapporto medievale tra il ricco possidente e il coltivatore (serfs, per vero scrive l'a.): rapporto in cui il secondo, a fronte del diritto di usare il fondo del primo, di trarne i frutti e di ottenere una qualche protezione, si obbligava a trasferirgliene una parte . Altri scrive invece a questo proposito di data colonialism, facendo un parallelo con lo sfruttamento colonialistico delle ricorse di paesi extraeuropei . Naturalmente l'online behavioural advertising genera non piccoli problemi legati alla privacy e alla discriminazione , come ricorderò più avanti.
La profilazione, però, non è da esecrata da tutti, dato che altri la ritiene anzi soddisfacente, in quanto meglio soddisfacente i bisogni personali: il vero problema starebbe invece nella cessione alle piattaforme del surplus di valore, di cui sono portatori i dati personali raccolti presso gli utenti, visto che sono le prime a trarne enormi guadagni, senza alcun ritorno per i secondi .
Se si tiene conto di tale contesto socioeconomico , la risposta al quesito diventa difficile. Provvisoriamente, però, direi che la ratio, sottostante al requisito del ruolo solo automatico e passivo del cons 42, dovrebbe essere rispettata anche nel caso di quelle attività lato sensu promozionali, che invece spesso inducono i giudici a ritenerlo violato, con negazione del safe harbour . In altre parole, il provider indicizza e propone sì i file caricati dagli utenti, ma lo fa in modo massivo ed automatico, in base, da un lato, al tipo di contenuti presenti in detti file (rilevato da metadati, non da controllo dei fatti ivi rappresentati), e, dall'altro, alle preferenze rilevate dal tracciamento dati: analizza per ideal-tipi, cioè segmentando e categorizzando gli utenti . In particolare non distingue (non può distinguere, direi) tra file a contenuto lecito e file a contenuto illecito , particolarmente laddove il giudizio dipende dal contesto : il che è sufficiente per farlo rientrare nel concetto di safe harbour, emergente dal cons. 42 . E' vero che questo trattamento di dati, proprio perché opera un matching tra i due lati del mercato (preferenze dei navigatori vs. proposte commerciali degli inserzionisti) può dirsi che lo faccia in base ai contenuti, su cui vengono lasciate tracce dai navigatori: ma appunto si tratta -a quanto risulta- di tracce abbinate a parole chiave, abstract o altri parametri sintetici, prefissati per ciascun prodotto/file visionato . E' certo che, purtroppo, le piattaforme non hanno alcun incentivo a ridurre i contenuti socialmente pericolosi : ma ciò è altro dalla conoscenza dell'illecito via via sub iudice, che preclude la fruizione del safe harbour..
Secondo la Commissione UE, del resto, l'organizzazione e promozione dei file costituisce indice del requisito di «funzionalità essenziale» per integrare il concetto di «piattaforma per la condivisione video», secondo l'importante dir. 2018/1808 di modifica della dir. sui servizi di media audiovisivi (che richiederebbe esame specifico). E' dunque il tipo di business ad imporre queste modalità operative, a prescindere da qualunque partecipazione allo specifico illecito sub iudice. La dir. 2018/1808 sembra dare per scontato che simili piattaforme, in linea di massima comprendenti pure i social media , non abbiano responsabilità editoriale: dice infatti di applicarsi ai servizi offerti da simili piattaforme, «per i quali [servizi] il fornitore della piattaforma per la condivisione di video non ha responsabilità editoriale» (art. 1, che introduce l'art. 1 § 1 lett. a bis) nella dir. 2010/13). Teoricamente, o meglio letteralmente, potrebbe obiettarsi che la disposizione si limitasse a delimitare il proprio campo di applicazione ai servizi, per i quali la piattaforma non abbia responsabilità editoriale, impregiudicata l'esistenza di piattaforme che invece l'abbiano. Effettivamente la disposizione è ambigua, non chiarendo come vada dato il giudizio sulla presenza/assenza di responsabilità editoriale, in particolare se su base soggettivo/volontaristica (scelta, esplicita o implicita, della piattaforma) oppure oggettiva (in tale caso, su quale parametro): parrebbe esatta la seconda alternativa, anche alla luce del precedente (e in pratica contrapposto) concetto di «servizio di media audiovisivi», che ricorre quando l'obiettivo principale «sia la fornitura di programmi al grande pubblico, sotto la responsabilità editoriale di un fornitore di servizi di media, al fine di informare, intrattenere o istruire, attraverso reti di comunicazioni elettroniche» (art. 1, di modifica dell'art. 1 § 1 lett. a) della dir. 2010/13). Ad ogni modo, in base alla disposizione cit., è probabilmente legittimo dire che "di solito" le piattaforme ospitanti video degli utenti, pur se arricchite da organizzazione attiva e non solo passiva, sono prive di responsabilità editoriale. Pare allora azzardato privare del safe harbour simili piattaforme quando esse, per il legislatore, di solito non hanno responsabilità editoriale .
Del resto la C.G. esclude la legittimità di inibitorie preventive, che richiedano monitoraggio esteso, laddove rischino «di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed un contenuto illecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito. Infatti, è indiscusso che la questione della liceità di una trasmissione dipende anche dall'applicazione di eccezioni di legge al diritto di autore che variano da uno Stato membro all'altro. Inoltre, in certi Stati membri talune opere possono rientrare nel pubblico dominio o possono essere state messe in linea gratuitamente da parte dei relativi autori» . Ebbene, il non poter distinguere tra lecito e illecito, se osta a tale dovere di monitoraggio, è coerente ritenere che osti pure alla perdita del safe harbour: come non può rischiare di conculcare la libertà d'espressione degli utenti, così pure non può rischiare di conculcare il diritto al safe harbour degli internet provider. I diritti dei primi non sono maggiori in parte qua di quelli dei secondi, i cui servizi sono pure essenziali per la collettività .
Il che vale a maggior ragione, se si considera che gli algoritmi, governanti questi processi economici, son sempre più capaci di autoapprendimento (machine-learning, soprattutto le c.d. deep neural networks): con la conseguenza che i risultati vengono ottenuti da modelli (patterns) che nemmeno i progettisti riescono a spiegare (o non in toto) . Essi non predicono il futuro, ma - in base ai dati esistenti - stimano le probabilità che qualcosa accada . Per cui in tali casi non si può più parlare di "conoscenza o controllo delle informazioni trasmesse o memorizzate": a meno di imputare queste in via oggettiva, esito però (forse astrattamente plausibile, ma) in concreto difficilmente accoglibile, senza una norma ad hoc, visto il tenore del cons. 42, e sempre che gli sia dia l'importanza ermeneutica (decisiva), che gli danno i sostenitori della distinzione provider attivo/provider passivo .
Questo modus operandi allora non pare costituire "conoscenza delle informazioni trasmesse o memorizzate" ex cons. 42: non solo o non tanto perché sia automatizzato , quanto -ancor prima- perché la conoscenza, che serve ai grossi provider e quindi quella effettivamente raccolta nell'organizzare e proporre i file, è solo quella finalizzata a creare gli abbinamenti più compatibili (e quindi sperabilmente più desiderabili e fruibili) con le tracce delle fruizioni pregresse. Non è lontana da questa posizione quella di chi sostiene che la ratio del requisito di passività stia nel tracciare una linea divisoria tra materiali propri (o fatti propri, "adopted content", come per la responsabilità editoriale) e materiali altrui (third-party information), anziché nel restringere il safe harbour .
Proprio sulla difficile applicabilità a sé di questa distinzione gioca Facebook: da un lato pretende di non essere responsabile per l'illiceità dei materiali caricati dagli utenti, in quanto non propri, e dall'altro invoca però la freedom of speech di cui al Primo Emendamento («Congress shall make no law respecting an establishment of religion, or prohibiting the free exercise thereof; or abridging the freedom of speech, or of the press; ») : la quale però gli spetterebbe solo se avesse appunto responsabilità editoriale e cioè se creasse un proprio «expressive speech» . Di recente ha leggermente modificato (rectius: ha dichiarato di aver leggermente modificato) l'algoritmo per il newsfeed, incrementando le "meaningful social interactions" e retrocedendo i post imprenditoriali, di marchi commerciali e di mass media, per favorire il people well-being, pur se meno redditizio per la piattaforma. In realtà l'ha verosimilmente fatto soprattutto per ridurre il rischio di perdere il safe harbour posto dal (per lei utilissimo) § 230 CDA : e ciò sia riducendo il focus sul suo ruolo editoriale (che risalta di più nei contenuti spinti da Facebook rispetto a quanto avviene per quelli condivisi da familiari e amici), sia sviando l'attenzione pubblica (soprattutto di politici, giudici e pubblico in genere) dalla necessità di modifica del citato safe harbour (opzione recentissimamente attuata dal Presidente Trump tramite un suo executive order del 28 maggio 2020, a seguito della polemica con Twitter) .
8. Non necessità del requisito di passitivà (pur con qualche dubbio)
la conclusione suggerita potrebbe tuttavia sembrare opinabile, se uno applica il requisito di passività previsto dal cons. 42 pure all' hosting provider: dato il pesantissimo intervento degli algoritmi nel determinare ciò che gli utenti "vedono", può diventare difficile ritenere "neutre e passive" le piattaforme che li usano . Non resterebbe forse che un argomento teleologico, accennato sopra: il design dell'algoritmo è si determinante per newsfeed e SERP, ma per motivi diversi e non connessi con l'illecito sub iudice e con i contenuti illeciti in generale. Potrebbe obiettarsi che i contenuti illeciti, se fanno comodo alla piattaforma in termini di spazi pubblicitari (probabilmente è così, dato che i relativi fruitori saranno fruitori anche dei contenuti analoghi), la piattaforma è ben contenta di riproporli . Questa è però una considerazione di buon senso, che difficilmente costituisce prova sufficiente -nemmeno argomento di prova- sia ai fini della concessione del safe harbour, sia (in positivo) ai fini dell'affermazione di responsabilità: da un lato, è mera illazione e, dall'altro, in entrambi i casi è richiesto uno stato soggettivo relativo allo specifico illecito sub iudice anziché in astratto (a differenza del mere conduit, come visto) . Per cui bisognerebbe conoscere ed analizzare l'algoritmo, per accertare se si potesse ravvisare difetto (per colpa o dolo eventuale) nella sua progettazione complessiva: che a questo punto diverrebbe un prodotto difettoso, fonte di danni per i terzi che vengano in contatto con esso . Ma ci sarebbero serissimi problemi nell'accesso all'algoritmo nella probabile (quasi certa) ipotesi, in cui il titolare del diritto d'autore su di esso si rifiutasse di ostentarlo (anche solo in giudizio): da un lato, l'art. 210 c.p.c. riguarda "cose" e, dall'altro, notoriamente la sua inottemperanza è priva di sanzione (a parte la ravvisabilità di argomenti di prova ex art. 116 c.2 c.p.c.) .
Il punto è ad es. al centro dell'attenzione di saggi recenti, secondo cui la progettazione e in generale il modo di funzionare degli algoritmi di oggi son assai più complessi e assai più determinanti della diffusione dei contenuti ricevuti, rispetto a quelli diffusi nel 1996 (anno del § 230 Communications Decency Act, di seguito solo: § 230 CDA): per cui i provider che li usano non son più necessariamente protetti da tale ombrello, dato che possono diventare in tal modo responsabili o corresponsabili «for the creation or development of information» e dunque diventare content provider (§ 230.f.3 CDA) , sostanzialmente tramite la fine granularità (elevato dettaglio) delle opzioni di scelta possibili agli utenti. La considerazione è interessante, ed è supportata pure da analisi tecniche , solo che si basa su una disposizione che da noi non esiste: da noi, per fruire del safe harbour, basta che il provider non sappia dell'illiceità portata dai file ospitati o che, se sa, provveda subito alla rimozione/disabilitazione . Pertanto, ad una prima riflessione, non pare desumibile dal dettato normativo esistente. Né dall'art. 14 dir. 2000/31 § 1, laddove richiede che si tratti di informazioni fornite dal suo cliente (quindi non in proprio): indubbiamente i file illeciti sono caricati proprio dal cliente della piattaforma. Né dall'art. 14 dir. 2000/31 § 2, non potendosi dire che organizzare e proporre file alla fruizione di possibili interessati equivalga a diventare content provider.
Si potrebbe insistere nella linea qui avversata (ma fatta propria dalla maggior parte di giurisprudenza e dottrina), dicendo che anche solo il proporre quanti più file possibile incrementa la possibilità di downloading (anche) di quelli illeciti e quindi il rischio di violazioni. Anzi, visto che il diritto è governo di conflitti reali, dicendo che nel caso specifico le proposte della piattaforma hanno contribuito alla violazione dello specifico diritto azionato. Tuttavia l'allegazione del contributo all'aumento di rischio di violazione non pare pertinente: non è questo che (non solo nell'art. 14 d dir. 2000/31 ma nemmeno) nel cons. 42 osta al safe harbour.
Del resto e passando alla responsabilità in positivo (anziché solo in negativo, come proprio del safe harbour) , l'incremento del rischio di violazioni pare irrilevante pure ai fini del giudizio di responsabilità (aquiliana, precedendo l'avviso): il soggetto leso, infatti, dovrebbe dimostrare che i download del file illecito sono avvenuti a causa dei suggerimenti della piattaforma . Se invece si ritenga che già la mera messa online costituisca violazione, allora l'attività organizzativo-indicizzatoria-propositiva della piattaforma non gioca alcun ruolo causale.
Infine c'è un'altra ragione che milita a favore dell'inclusione nell'area del safe harbour delle piattaforme lato sensu intese. Anche se per ipotesi si togliessero tutti i suggerimenti pubblicitari, non si avrebbero comunque risultati "puri" (o "naturali, come si dice ad es. per quelli prodotti dai motori di ricerca per contrapporli a quelli "sponsorizzati"). Parlare di risultati puri o naturali presupporrebbe che esistessero in rerum natura e cioè in via oggettiva, a prescindere dal contributo della piattaforma: il che non è . Il newsfeed di Facebook e l'elenco risultati dei motori di ricerca sono totalmente frutto di un algoritmo, che, da un lato, viene costantemente modificato (spesso dopo appositi test ) sulla base di varie esigenze (non ultime le pressioni dirette o indirette degli inserzionisti ), e, dall'altro, dipende dallo stesso utente in base alla sua personale storia (tracking) di navigazione (nella misura in cui l'algoritmo lo prevede), sicchè la presentazione delle informazioni cercate varia da utente ad utente . Ad es. il News Feed di Facebook non è solamente «a weighted formula with thousands of inputs, but rather a constantly updated, personalized machine learning model, which changes and updates its outputs based on your behavior, the behavior of people you are connected with, and the behavior of the affinity and personality-based sub-group of users the system judges you to belong to. Facebook's formula, to the extent that it actually exists, changes every day» . Sicchè l'idea persistente "that platforms are open, impartial, and unregulated is an odd one, considering that everything on a platform is designed and orchestrated" . Per non dire che nei casi delicati ci sono pure interventi manuali sui risultati dei motori di ricerca e che ci sono varie tecniche per ingannare il motore di ricerca, i cui esiti a loro volta contribuiranno a determinare i futuri page rankings . Quindi non ci sono offerte naturali od oggettive di risultati: tutto è solo frutto delle istruzioni algoritmiche, sottoposte a continuo cambiamento. Il punto è stato ben colto in una nota sentenza statunitense Search King c. Google Technology del 2003: «However, this reasoning ignores the important distinction between process and result. Here, the process, which involves the application of the PageRank algorithm, is objective in nature. In contrast, the result, which is the PageRank or the numerical representation of relative significance of a particular web site is fundamentally subjective in nature. This is so because every algorithm employed by every search engine is different, and will produce a different representation of the relative significance of a particular web site depending on the various factors, and the weight of the factors, used to determine whether a web site corresponds to a search query» .
La "passività" di questi internet provider non esiste né è mai esistita, sicchè il mito della loro c.d. "neutralità", è appunto solo un mito . Ne segue che, se si insiste nel pretenderla, le piattaforme attuali, anche in ipotesi optassero per rimuovere ogni pubblicità, per il solo fatto di prestare il servizio informativo in base ad algoritmo da loro creato, non potrebbero mai fruire del safe harbour. Non credo che questa sia la scelta ordinamentale: il fatto, che non esistessero all'epoca della dir. 2000/31, non impedisce di interpretarla in via evolutiva, per tener conto di come si sono modificati da allora i servizi internet di questo tipo.
9. Ancora ipotizzando di applicare il cons. 42 all'hosting provider
Inoltre, sempre ipotizzando di applicare il cons. 42 al tipo hosting provider, servirebbe pure un adattamento del cons. medesimo. Il suo primo periodo («le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui più efficiente la trasmissione»), infatti, come sopra accennato, è applicabile solo ai primi due tipi di provider, non alla memorizzazione duratura. Rimarrebbe testualmente applicabile la seconda parte, che è così condensabile: i) attività meramente tecnica, automatica e passiva; di conseguenza ii) il prestatore non conosce le informazioni memorizzate; e iii) nemmeno le controlla.
I punti ii) e iii) sono soddisfatti. Infatti non si può dire che egli conosca i contenuti dell'enorme numero di file presenti sui suoi server. Nemmeno si può dire che li controlli, dato che sono caricati e gestiti dai suoi utenti. E' vero che immancabilmente nei contratti con costoro il provider/piattaforma si riserva il diritto di modificare, elaborare, riprodurre, etc. i materiali: ma si tratta di potere che di fatto, a quanto immagino, non viene esercitato se non in remote eventuali ipotesi, tra cui: evitare azioni di inadempimento o risarcimento del danno nel caso provveda a rimuovere i contenuti e/o disabilitare l'accesso perché richiesto dal soggetto leso o ingiunto dal giudice e/o violazione della policy della piattaforma.. Invece il controllo, che fa perdere il safe harbour, è quello che viene usualmente esercitato nei fatti, in modo che si possa dire che anche il provider ha contribuito alla diffusione in rete: ad es. quando filtrasse in modo volutamente lasco i file manualmente o anche informaticamente, opportunamente settando i parametri per permettere il passaggio di certi temi o siti. Ma si tratterebbe di prova difficile per il soggetto leso e che comunque, per restare in tema, venendo offerta ex post, non potrebbe escludere ex ante dal safe harbour le piattaforme, che procedono ai consueti trattamenti di elencazione, organizzazione, indicizzazione etc. . A proposito del profilo del controllo, può ricordarsi la differenza tra il modello di business di Spotify e quello di Youtube: il primo sceglie e controlla totalmente e in piena autonomia i contenuti che propone, sicchè sa esattamente quali sono in un dato momento (in sostanza è una responsabilità c.d. editoriale); Youtube si limita a organizzare i contenuti caricati dagli utenti .
Profilo interessante, perché la riserva di eseguire la censura sui contenuti (o la sua applicazione reale, per chi ne chiede l'effettività, come a me pare), da un lato, tutela contrattualmente il provider verso il suo cliente; dall'altra, però, rischia di fargli perdere il safe harbour per la ragione appena accennata e cioè perché può dirsi che egli abbia il controllo sull'operato del cliente stesso (art. 14 § 2 dir art. 16 c. 2 d. lgs. 70/2003). C'è quindi da valutare per un provider, se convenga realmente filtrare i contenuti: se non lo fa, mantiene il safe harbour perché è neutro e quindi la sua responsabilità sorge solo quando ha notizia del singolo illecito, secondo la disciplina dell'art. 16 d. lgs. 70/2003; se invece filtra, rischia di perdere il safe harbour, anche se probabilmente si salverà comunque, in quanto la sua condotta sarà ritenuta diligente e quindi non colposa ex art. 2043.
Anche il punto sub i) (attività meramente tecnica, automatica e passiva), tutto sommato, può dirsi rispettato, come sopra anticipato. E' probabile che il legislatore UE non avesse in mente questo tipo di attività: negli anni 1999-2000 (sarebbe da verificare) ancora non esistevano le predette caratteristiche del servizio di hosting. In ogni caso, leggendo bene il cons. 42, la conseguenza del rispettare tale punto i) è quella, di cui alla prosecuzione del cons. ("il che implica che non conosce né controlla" i contenuti), che abbiamo appena visto venir rispettata. In altre parole, i profili della tecnicità, automaticità e passività, sono menzionati in relazione all'unico effetto, che per il cons 42 pare rilevante: che ne consegua l'assenza in capo al provider della conoscenza o del controllo delle informazioni (cioè dei contenuti). Dovremmo allora concludere che il punto sub i) è rispettato pure dalle attuali modalità di conduzione delle piattaforme di hosting. In fondo tutti sanno che sui contenuti esse non incidono e che l'unico loro intervento è nell'ampliare e facilitare le possibilità di ricerca e individuazione delle informazioni, cui si è interessati (per generare maggior esposizione alla pubblicità, naturalmente). Questo può portare forse a facilitare (statisticamente) le violazioni , ma non ne è affatto conseguenza necessaria e comunque non è verificabile in relazione allo specifico caso sub iudice.
E allora, riprendendo le osservazioni anticipate sopra, la domanda è se questo aspetto collida col concetto di attività meramente i) tecnica, ii) automatica e iii) passiva. Circa i) la risposta dovrebbe essere negativa, dato che, per come si è sviluppato il mercato, questi suggerimenti indicizzati sono per lo più quelli desiderati dai navigatori e dunque fanno parte necessaria del servizio. Tecnicamente, è offerto e desiderato così dall'utente: cioè è quest'ultimo che in base al tracciamento dei suoi dati inseriti nell'algoritmo determina l'offerta o i suggerimenti. Circa ii) la risposta è pure negativa, dato che essi son attuati tramite complessi software. Circa iii) la difficoltà è apparentemente maggiore, dato che di fatto il provider non si astiene affatto, ma propone nuovi contenuti simili. Però l'interpretazione corretta del requisito ha a che far col contenuto (come conferma il riferimento del seguente cons. 43 all'alterazione della integrità della informazione) e si è visto che su di essi il provider ben raramente si intromette; per cui si può dire che contenutisticamente il provider non svolge affatto un ruolo attivo. In conclusione, le consuete modalità propositive dei contenuti, praticate dalle piattaforme, paiono rimanere all'interno delle attività ammesse dal cons. 42.
Nessun rilievo sotto questo profilo possiede la circostanza, per cui il provider percepisce un compenso dalle proposte commerciali connesse ai contenuti da lui organizzati e proposti ai navigatori. La disciplina, infatti, concede il safe harbour a chi non sa dei contenuti o a chi, appena sa dell'illiceità, li rimuove; con questo la maggior o minor lucratività non ha alcun ruolo .
Potrebbe ravvisarvi forse un ostacolo alla tesi qui sostenuta nell'art. 14 c. 1 lett. b)-c), d. lgs. 70/2003, laddove esclude il safe harbour per l'access/mere conduit provider che selezioni i destinatari o le informazioni. Se, anziché dare accesso o trasmettere tutto ciò che gli viene richiesto, egli filtra in modo da far passar alcune cose si ed altre no oppure in modo da permettere l'invio a Tizio ma non a Caio, è sensato che non goda di un ombrello protettivo a priori. Potrà ex post non essere ritenuto concorrente (nell'illecito costituto da ciò che ha lasciato passare), ma appunto ex post, non esentatone ex ante.
Ci si potrebbe infatti chiedere se questa ragione fosse da applicare pure all'hosting provider, per poi escludere l'ombrello protettivo nel caso dell'indicizzazione/organizzazione/promozione de qua. La risposta dovrebbe essere negativa, sia perché la disposizione specifica tace sul punto, sia perché l'hosting provider propone file/post ulteriori (in base alla sua "storia") rispetto a quelli visionati, senza modificare alcun programma di invio o trasmissione di un ipotetico soggetto inviante: "selezionare", invece, significa filtrare e cioè ridurre il numero dei contenuti/post inviati o dei destinatari di un ipotetico atto trasmissivo a monte. L'intervento del provider, dunque, è sostanzialmente di tipo opposto nei due casi (l'attività promozionale delle piattaforme determina un ampliamento oggettivo o soggettivo di ciò che gli utenti chiedono; l'altro determina una riduzione selettiva): per cui la regola, posta per l'uno, non può essere estesa all'altro. Questa osservazione vale non solo per il profilo oggettivo (contenuti id est, "informazioni" ex art. 14 cit.), ma anche per il profilo soggettivo (selezione dei destinatario).
10. Alcune sentenze sul punto della pretesa necessità che si tratti di provider passivi
Sul punto, come comprensibile, si è pronunciata diversa giurisprudenza, europea e nazionale. Quanto alla prima, ricordo Google France v. Vuitton e altri in tema di marchi circa il servizio pubblicitario "di posizionamento" AdWords, in cui -in base al quantum pagato- l'inserzionista si pone più in alto o più in basso nei risultati delle ricerche. Qui la Corte si limita a dire che anche per l'hosting provider si applica la regola del cons. 42 e che per l'accertamento della passività è semmai rilevante non il servizio in sé di posizionamento, ma «il ruolo svolto dalla Google nella redazione del messaggio commerciale che accompagna il link pubblicitario o nella determinazione o selezione di tali parole chiave», ciò che tocca al giudice nazionale verificare (§ 118-119). Alla fine però esclude che il suo ruolo sia attivo (§ 120).
Più significativo è il dictum nel caso L'Oreal ed altri c. eBay ed altri ove la Corte dice che «Come ha giustamente osservato il governo del Regno Unito, la mera circostanza che il gestore di un mercato online memorizzi sul proprio server le offerte in vendita, stabilisca le modalità del suo servizio, sia ricompensato per quest'ultimo e fornisca informazioni d'ordine generale ai propri clienti non può avere l'effetto di privarlo delle deroghe in materia di responsabilità previste dalla direttiva 2000/31 (v., per analogia, sentenza Google France e Google, cit. punto 116). Laddove, per contro, detto gestore abbia prestato un'assistenza consistente segnatamente nell'ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte, si deve considerare che egli non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma che ha svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte. In tal caso non può avvalersi, riguardo a tali dati, della deroga in materia di responsabilità di cui all'art. 14 della direttiva 2000/31» (§§ 115-116) : con l'immancabile aggiunta per cui l'accertamento, se ciò ricorra nel caso specifico, spetta al giudice nazionale rinviante (§ 117). Dunque secondo la C.G. l'ottimizzare la presentazione delle offerte in vendita e la loro promozione gli fa perdere il ruolo passivo e osta all'invocabilità del safe harbour. La posizione è nel metodo immotivata, dato che queste attività non costituiscono conoscenza né controllo dei contenuti (ciò che per la Corte conferisce il ruolo attivo: § 113), e nell'esito non condivisibile. Tale presa di posizione è stata seguita da sue successive pronunce .
In analogo senso alcuni giudici italiani come Trib. Roma RTI c. Vimeo n. 693/2019 del 10.01.2019 RG n.23732/2012 (ed altri ivi citati) e come due successive decisioni di Trib. Roma con uguale relatore (ma diverso dalla prima ), aventi sempre RTI come attore e Dailymotion da un lato e Vimeo dall'altro come convenuti .
Prendiamo queste ultime due e in particolare la prima di esse (RTI c. Dailymotion), dato che il ragionamento è sostanzialmente uguale per la parte di interesse. Il Tribunale in generale accoglie la distinzione tra hosting provider attivo e passivo, per escludere il primo dal safe harbour. Quest'ultimo presuppone il "solo stoccaggio dei dati in maniera tecnica automatica e passiva senza e conoscenza e controllo dei dati memorizzati", per cui perde la neutralità «allorquando in relazione a determinati contenuti audiovisuali e sulla base delle emergenze processuali emerga che abbia perso il carattere di neutralità e passività alla base di tale esenzione, operando sui dati che carica forme di intervento volte a sfruttare i contenuti dei singoli materiali caricati dagli utenti e memorizzati sui propri server ed operando in generale sotto le forme del controllo, della conoscenza e della profilazione dei dati ed in maniera non automatizzata» . Nello specifico applicando tali principi, ritiene Dailymotion hosting provider attivo, dato che «si tratta quindi di un'archiviazione forse automatica (anche se il consulente tecnico d'ufficio ha parlato di uno staff a ciò dedicato e risultano dal bilancio costi per il personale superiore a 3,5 milioni di euro nel 2017, circostanza questa che lascia supporre l'esistenza di un nutrito gruppo di soggetti impiegati stabilmente nelle attività collegate alla gestione della piattaforma) ma sicuramente non "neutra" nel senso inteso dalla direttiva ed interpretato dalle Corti, perché finalizzata ad una gestione dei dati ad esclusivo profitto della società convenuta che presuppone un vaglio dei contenuti memorizzati ( ). L'archiviazione, almeno per quanto concerne i contenuti video oggetto del presente procedimento, secondo degli specifici indici che collegano ad una de-terminata categoria potenziali e maggiori introiti pubblicitari, sono serio indice di coinvolgimento della società nella gestione dei contenuti.( ) In altre parole DAILYMOTION, lungi dall'operare quale semplice intermediario, ovvero per amore della libertà di espressione e per la divulgazione del pensiero, sembra perseguire la veicolazione e la diffusione più ampia possibile di filmati a mezzo internet massimizzando le visualizzazioni, poiché da ogni video divulgato trae i suoi utili per la vendita di servizi pubblicitari collegati alla diffusione dei filmati. La calibrazione e la profilazione pur effettuate ex ante, forse anche solo a mezzo di cookies, non escludono un disegno preventivo finalizzato alla gestione/manipolazione complessiva del materiale caricato. È difatti sempre l'uomo, secondo degli schemi ben precisi, che profila i cookie di profilazione» . Come osservato sopra, il principale motivo alla base di questo giudizio (il profitto tratto dalle proposte di video ai navigatori) è a mio parere ininfluente sulla applicabilità del safe harbour previsto per l'hosting provider .
In senso opposto (e preferibile) altre pronuncia secondo cui "il punto di discrimine tra fornitore neutrale e fornitore non neutrale debba esser individuato nella manipolazione o trasformazione delle informazioni dei contenuti trasmessi o memorizzati come peraltro suggerito (sebbene con riferimento alle attività di "mere conduit" e "caching") dal considerando n. 43 della Direttiva 2000/31/CE, estensibile, per analogia, anche al caso dell'hosting, nonché come anche chiarito dai successivi considerando n. 44 e 46 che richiamano l'intenzionalità e l'inerzia di fronte a specifiche informazioni dell'avvenuto illecito quali momenti di discrimine per il venir meno dell'operatività delle deroghe di responsabilità." per poi precisare che «se invero il fornitore di servizi internet, non si limita a un mero ruolo di intermediario fra due soggetti distanti mettendo a disposizione la propria piattaforma tecnologica, ma rielabora o partecipa alla redazione del contenuto intermediato, si avrà in questo caso una piena responsabilità civile secondo le regole comuni. Qualora invece vengano attuate delle mere operazioni volte alla migliore fruibilità della piattaforma e dei contenuti in essa versati (attraverso - ad esempio - il caso tipico della indicizzazione o dei suggerimenti di ricerca individualizzati per prodotti simili o sequenziali ovvero quello altrettanto tipico dell'inserzione pubblicitaria e dell'abbinamento di messaggi pubblicitari mirati), le predette clausole di deroga di responsabilità continueranno ad operare poiché nel caso in esame ci si troverà nell'ambito di espedienti tecnologici volti al miglior sfruttamento economico della piattaforma, e non già innanzi a un'ingerenza sulla creazione e redazione del contenuto intermediato» . La conseguenza è che tutta l'attività pubblicitaria e di indicizzazione di Youtube non gli fa perdere la neutralità . Analoga è la posizione espressa l'anno seguente sempre dal Tribunale torinese tra le stesse parti in un diverso sviluppo processuale della lite .
Nella stesa linea si colloca il cit. appello Milano 2015 nella lite RTI c. Yahoo . Secondo questo giudice «le attuali tecnologie avanzate, in mancanza di altri elementi in grado di fare intravedere una vera e propria manipolazione dei dati immessi da parte dell'hosting provider, non siano da sole in grado di determinare il mutamento della natura del servizio di hosting provider di tipo passivo (secondo la classificazione utilizzata dalla giurisprudenza nazionale richiamata dalla sentenza appellata), in servizio di hosting provider di tipo attivo, in ragione della mera presenza i) di sofisticate tecniche di intercettazione del contenuto dei file caricati, attraverso un motore di ricerca, e ii) delle più svariate modalità di gestione del sito e iii) del particolare interesse del gestore a conseguire vantaggi economici» (§ 24) dato che "il regime di esonero dalla responsabilità, espressamente previsto nell'art. 14 della direttiva, non viene certamente intaccato dalla presenza di indici di attività meccanica e non manipolativa nel trattamento dei dati immessi, come è stato meglio specificato nel caso C-324/09, L'Oreal c. eBay» (§ 27).
Il giudizio è avallato dalla seguente decisione di legittimità, la cit. Cass. 7708/2019, che ritiene corretta l'affermazione di fruibilità dell'ombrello protettivo ex art. 16 d. lgs. 70/2003 da parte della sezione Video del portale Yahoo . Tuttavia la S.C., pur giungendo a tale esito nel caso specifico, ritiene errata la negazione a priori di rilevanza giuridica all'hosting provider attivo : anzi, tale nozione "può ormai ritenersi dunque un approdo acquisito in ambito comunitario" (sub § 4.2). Tra l'altro cita a conforto un considerando di una versione antecedente della attuale dir. 790/2019 sulla modifica del diritto d'autore : il passaggio è però errato. Da un lato, ciò potrebbe intendersi nel senso opposto e cioè nel senso che la precisazione del cons. serve proprio perché la normativa ex dir. 2000/31 non dava rilevanza all'hosting provider attivo. Dall'altro, i considerando non hanno forza normativa autonoma, per cui cedono ad un testo incompatibile con esso: ed è proprio il caso de quo, dato che il seguente art. 13 non menzionava tale pur importantissima regola, la quale quindi non poteva ritenersi posta dall'art. 13 medesimo, muto sul punto, e di conseguenza doveva ritenersi abbandonata. In ogni caso il problema è superato dal testo finale della dir. (successivo al deposito di Cass. 7708/2019) ed anzi pare modificato in direzione opposta: scomparsa l'affermazione del precedente cons. 38, l'attuale cons. 61, 3° e 4° periodo, dice che la ratio di introduzione della nuova disciplina (che qualifica d'imperio l'hosting di materiali coperti da diritto d'autore come comunicazione al pubblico) consiste nel superare l'incertezza giuridica della condotta di chi ospita materiali protetti. Tale affermazione di incertezza giuridica, allora, contraddice la giurisprudenza europea citata. Inoltre, passando all'articolato, il fatto, che l'articolato sia ancora una volta muto sul punto in esame, non permette di ravvisare nella dir. 790 alcun elemento a favore della perdita del safe harbour nel hosting provider c.d. attivo .
Nella stessa linea da me sostenuta pare Cass. pen. III, ud. 17.12.2013 e dep. 03.02.2014 n. 5107 (caso Google c. Vividown), che trova conforto in tale posizione per negare a Google/Youtube la titolarità del trattamento dati personali, riservandola solo agli utenti uploader (§§ 7.2-8).
Così anche la giurisprudenza statunitense sulle piattaforme di videosharing, che ha riconosciuto loro il safe harbour di cui al § 512(c) del 17 US code, molto simile a quello europeo . Si consideri quanto osserva il giudice in Viacom v. Youtube «As previously noted, the District Court held that the statutory phrases "actual knowledge that the material... is infringing" and "facts or circumstances from which infringing activity is apparent" refer to "knowledge of specific and identifiable infringements." [...] For the reasons that follow, we substantially affirm that holding.» (§ 39) e poi circa le funzioni di transcoding e di play-back a vantaggio dell'utente: «The relevant case law makes clear that the § 512(c) safe harbor extends to software functions performed "for the purpose of facilitating access to user-stored material." [...] Two of the software functions challenged heretranscoding and playbackwere expressly considered by our sister Circuit in Shelter Capital, which held that liability arising from these functions occurred "by reason of the storage at the direction of a user." [...] Transcoding involves "[m]aking copies of a video in a different encoding scheme" in order to render the video "viewable over the Internet to most users." [...] The playback process involves "deliver[ing] copies of YouTube videos to a user's browser cache" in response to a user request. [...] The District Court correctly found that to exclude these automated functions from the safe harbor would eviscerate the protection afforded to service providers by § 512(c)» (§ 77) (grassetto aggiunto) .
11. Sintesi del ragionamento sul tema della pretesa passività
In sintesi, che grandi provider spingano al massimo per la fruizione di quanto caricato dagli utenti, è indubbio, dato che i relativi contenuti permettono spazi pubblicitari e la rilevazione di dati con cui affinare gli algoritmi; che questo sia incompatibile col disposto del cons. 42, invece, è assai dubbio. In particolare, circa il secondo periodo di tale cons., non pare eccedere l'"attività meramente tecnica e passiva" essendo stata creata apposta per sfruttare in automatico e in via massiva i dati degli utenti . Nemmeno però è interpretabile come conoscenza o controllo dei contenuti. La situazione dunque è dubbia, ma al momento è preferibile permettere anche a questo tipo di business il safe harbour, sulla base di i) un argomento letterale e ii) di uno teleologico. Quanto ad i), l'art. 14 -certamente prevalente sui cons.- e l'art. 16 d. lgs. 70/2003 non menzionano i requisiti di cui al cons. 42. Quanto ad ii), viene rispettata la ragione del safe harbour , consistente nel non applicarsi a condotte imprenditoriali che facilitino consapevolmente le violazioni: eventualità che non ricorre, dato che come sopra ricordato, le promozioni commerciali si rivolgono indistintamente a tutti i contenuti, senza distinguere tra fonti lecite e illecite. Perciò non può dirsi che l'attività di indicizzazione/organizzazione/promozione favorisca (consapevolmente) le seconde: questa in fondo è la ragione del safe harbour, anche nella versione immaginata dal cons. 42, come risulta dalla proposizione finale "il che implica che il prestatore di servizi della società dell'informazione non conosce né controlla le informazioni trasmesse o memorizzate". Valutazione che potrà essere riconsiderata, anche alla luce di maggiori informazioni sugli algoritmi che governano il funzionamento delle piattaforme.
E' vero che questo sistema serve a promuovere non solo merci ma -questo è l'aspetto più preoccupante- pure idee, dal lato utente, e vendite o impieghi di dati personali, dal lato inserzionista . Già sono stati evidenziati i seri e gravi pericoli per i processi politico/democratici e sociali in genere, derivanti dalla qualità di gatekeepers globali della comunicazione , alla luce dell'esponenziale incremento dei dati passanti sui loro server , soprattutto dopo l'incremento di comunicazione digitale a seguito della pandemia del 2020 (anche se si dimenticano altre pressioni sul gioco democratico, assai meno visibili , e anche se taluno riesce a cogliere ciò nonostante un fenomeno di balkanization dell'internet, con ritorno a walled gardens ). Tali pericoli sono legati soprattutto:
-alla riduzione del tasso di esposizione ad idee diverse dalle proprie (filter bubbles ed echo chambers , le seconde diverse dalle prime per la presenza di una scelta più o meno volontaria dell'utente, anziché dell'algoritmo , a dispetto dell'importanza delle esperienze condivise per creare il c.d. capitale sociale ; anche se si legge di una parziale retromarcia di qualcuno ), complessivamente chiamati "acceleratori tecnologici" , personalizzazione che mette in crisi il concetto tradizionale del pubblico dibattito, che presupporrebbe che tutti ricevessero le stesse informazioni per fare scelte informate ; del resto, la tendenza a frequentare persone (considerate) simili a sé fa parte della natura umana , avendo probabilmente ragioni biologico-evolutive profonde; con accentuazione dunque della polarizzazione verso gli estremi delle opinioni espresse nel dibattito socio-politico ;
- alla intermediazione tra offerenti e destinatari, concentrata in un numero ridottissimo di potentissimi soggetti privati , a differenza dall'era televisiva , anche se qualcuno fa un parallelo con precedenti colossi aziendali come Standard Oil ), i quali possono tra l'altro liberamente modificare gli algoritmi che determinano i post (newsfeed) o i risultati che ciascuno riceve ; i social media infatti costituiscono «the first significant speech forum in which a single "curator" controls both the production and receipt of speech by individual participants, determining simultaneously and continuously what each participant is allowed to say and to whom, and what speech each participant is allowed to receive, and how» ;
- alle loro enormi capacità di lobbying e di offrirsi come finanziatori di settori in crisi come quello giornalistico ;
- alla equiparabilità di piattaforme come Facebook ai mezzi di informazione quanto ad efficacia informativa, anche se formalmente ospitante contenuti caricati dagli utenti, con conseguente (prima facie, almeno) inapplicabilità della relativa normativa editoriale ;
- allo sfruttamento della vulnerabilità delle persone rilevata (in tempo reale, si badi , se non addirittura create ad hoc ) dal finegrained microtargeting tramite le innumerevoli tracce lasciate nel web (sia quelle volontariamente lasciate che quelle solo osservate o addirittura semplicemente inferite ), ultima fase evolutiva delle Big Tech secondo l'analisi di Zuboff , per cui può parlarsi di «dynamical emotional targeting» ) e alla capacità di condizionamento comportamentale (anche inconsapevole) propria della profilazione , essendo maestri nell'applicazione del nudge sulla base delle migliori conoscenze di behavioral science , anche se non mancano voci perplesse sulla reale capacità di precisione ed efficacia del microtargeting ;
- alle incrementate possibilità di harassment via internet ;
- all'opacità (anzi: totale oscurità) degli algoritmi, che non permette né di conoscere la logica e i dati su cui operano né di rilevarne gli (inevitabili) errori e ciò anche in termini di discriminazioni sociali (che proprio per questo sono assai meno percepibili rispetto a quelle proprie dell'era pre-algoritmica) di vario tipo (ad es. pure l'età o l'importanza sociale del soggetto, su cui bisogna decidere se keep up o invece take down ), magari in forma indiretta/occulta (c.d. proxy discrimination) (anche se, adoperati all'inverso, gli algoritmi possono prevenire le discriminazioni) , opacità del modus operandi del'A.I. che è di per sé unfair , a poco servendo nei fatti gravare di responsabilità per danni i produttori di A.I. (sostanzialmente per prodotto difettoso) quando questa si basi su dati inaccurate oppure inappropriate o è stata "allenata" male o comunque è stata creata negligentemente secondo la scienza statistica e/o informatica;
- all'aumento notevole della diffusione di "bufale informative" (fake news ), anche nella versione più pericolosa delle deepfakes, quando consistono in falsi audiovisivi (in costante aumento per la crescente facilità informatica di loro creazione) e della disinformazione in generale , che le piattaforme riescono ad affrontare in termini (non stranamente) solo probabilistici : il che produce minor credibilità nei media ;
- alla violazione della privacy di una persona tramite l'aggregazione massiva di dati che la riguardano ;
- alla possibilità di digital abuse, sempre più diffuso e la cui gravità è sottostimata ;
- al fatto che sono le Big Tech a dettare le regole tecniche di cybersecurity, in assenza però dei consueti baluardi di difesa democratica (trasparenza, partecipazione, neutralità etc.) che operano quando il decisore è pubblico . Discorso che va esteso all'artificial intelligence in generale, dato che, da un lato, la sua pervasiva diffusione regola ormai la vita delle persone in più sensi e lo farà sempre più, e, dall'altro, che gli algoritmi sottostanti sono sviluppati da enti privati, ai quali di fatto deleghiamo il comando di molte attività umane, senza che vi sia una loro corrispondente accountability .
Oppure pericoli legati alla regolarità della competizione economica, come quando l'algoritmo favorisce i prodotti della piattaforma -che è quindi in conflitto di interessi- rispetto a quelli degli altri venditori ivi ospitati (a caro prezzo) , combinato con l'effetto rete per cui il loro potere di mercato aumenta sempre più , dato che si avvalgono di tecnologie che per loro natura portano a dinamiche del tipo winner-takes-all ; o come quando si sfruttano i consumatori con discriminazioni di prezzo, tramite l'estrazione del c.d. surplus del consumatore, dato che il microtargeting permette di individuare con una buona precisione il massimo che egli è disposto a spendere ; o infine i pericoli per il calo di innovazione tecnologica nel caso che le big platforms acquistino le più interessanti start-up, anziché lasciarle prosperare e acquisire la loro tecnologia dal mercato secondario . Ed anzi le Big Tech cercano di incrementare il loro già enorme potere, facendo lobbing sui governi per la stipula di accordi internazionali sul digital trade del tipo di quelli alla base della Word Trade Organization , per non dire di altre conseguenze assai dannose (poco note) legate al forte contributo dato al surriscaldamento globale . Del resto, le collettività nel corso della storia hanno spesso cercato di impedire la formazione di poteri privati troppo ampi .
Tutto questo, però, non rileva nel caso nostro, ove il legislatore ha voluto riservare il safe harbour a chi non sa dell'illiceità (e a chi sa, ma subito ha proceduto a rimuovere i contenuti e/o disabilitare l'accesso): situazione circa la quale la struttura oligopolistica in sé del mercato degli intermediari poco o nulla dice. Le pur serissime preoccupazioni per il tasso di democraticità e per la trasparenza dei processi politici, non è con questo corpus normativo che vanno affrontate.
12. Intermezzo su una recente e nota sentenza di Cassazione
Secondo una recente opinione giurisprudenziale, «la distinzione tra hosting provider attivo e passivo può, a ben vedere, agevolmente inquadrarsi nella tradizionale teoria della condotta illecita, la quale può consistere in un'azione o in un'omissione, in tale ultimo caso con illecito omissivo in senso proprio, in mancanza dell'evento, oppure, qualora ne derivi un evento, in senso improprio; a sua volta, ave l'evento sia costituito dal fatto illecito altrui, si configura l'illecito commissivo mediante omissione in concorso con l'autore principale. La figura dell'hosting provider attivo va ricondotta alla fattispecie della condotta illecita attiva di concorso. ( ) Dunque, si può parlare di hosting provider attivo, sottratto al regime privilegiato/ quando sia ravvisabile una condotta di azione, nel senso ora richiamato» . L'affermazione lascia perplessi, laddove par dire che l'hosting provider, quando è "attivo", diventa automaticamente concorrente nell'illecito. Si confondono due piani diversi: A) il concorso nel singolo illecito sub iudice; B) la modalità di svolgimento (in generale, non nel caso sub iudice) della propria attività da parte dell'internet provider, per capire se può fruire o meno del safe harbour. La distinzione tra provider attivi e passivi ha a che fare col secondo piano, sub B), mentre non ha nulla a che fare col primo. In altre parole, il fatto, che un provider sia qualificato come attivo, non significa che gli si possa per ciò solo addebitare il concorso con l'utente in un certo illecito.
Come sopra ricordato, il concorso fonte di (cor-)responsabilità civile prevede un contributo in termini causali nella produzione dell'evento di danno portato in giudizio: circa l'accertamento di quest'aspetto fattuale, però, solitamente nulla può segnalare che il business condotto dal provider sia strutturato o meno con le attività di filtro/suggerimento/indicizzazione etc. che i giudici utilizzano per ravvisare il ruolo attivo . Bisognerebbe provare che tale modello di business avesse causato o contribuito a causare -anche solo in termini probabilistici- la specifica violazione sub iudice: prova a priori impossibile se per "violazione" si intende il mero uploading e comunque difficilissima (probabilmente impossibile, almeno per il soggetto leso) anche se per "violazione" si intendono dowloading, condivisione, linking e simili.
Inoltre la distinzione tra illecito omissivo proprio e improprio è di dubbia trasponibilità nella responsabilità civile: questa esiste solo in caso di contributo causale (omissivo o commissivo non conta: nel primo caso omissione c.d. impropria) alla produzione di un danno, mentre non rileva la mera violazione del dovere di attivarsi cioè l'astensione in sé a prescindere da un danno (omissione c.d. propria).
13. Il provider di mero trasporto (art. 14 d. lgs. 70/2003). L'inibitoria/injunction
Per l'attività di semplice trasporto, che comprende pure il dare accesso alla rete (art. 14 d. lgs. 70/2003) , il provider non è responsabile se i) non dà origine alla trasmissione , ii) non seleziona il destinatario, iii) non seleziona ne modifica le informazioni trasmesse . Sono i profili, che concretizzano per questo tipo di provider quel ruolo di passività e automaticità di servizio appena visto e indicato dal cons. 42 dir. 2000/31. In effetti, se vuole qualificarsi come provider di mero trasporto/mero accesso non può -lo si comprende- porre in essere azioni rientranti nei tre tipi indicati dalla legge: non sarebbe più un provider di mero trasporto, in quanto sarebbe lui a dare almeno in parte la direzione (o il contenuto) alla attività comunicativa inizialmente realizzata dall'utente. Il safe harbour allora verrà meno e si applicherà la disciplina di diritto comune: probabilmente ci sarà un concorso del provider con l'utente uploader .
Il comma 2 fornisce una specificazione, della quale non ci sarebbe stato bisogno, dal momento che anche questa memorizzazione automatica e transitoria, se necessaria al funzionamento del servizio, doveva comunque essere ritenuta irrilevante ai fini della fruizione delle esimente. Piuttosto è interessante l'esplicitazione -anche se pur essa non sarebbe a questo punto necessaria- che la memorizzazione automatica debba essere limitata al tempo "ragionevolmente" (non "strettamente", ad es.) necessario all'esecuzione della trasmissione (c.2): una memorizzazione maggiore esorbita dal ruolo passivo e neutro. Il che anticipa ciò che rileva pure nel cahing provider, anche se ivi non è detto con questa precisione, ma è comunque ricavabile (c. 1: "effettuata al solo scopo di rendere più efficace il successivo inoltro"; v. anche lett. c) e lett. e)) .
Secondo il c. 2, il safe harbour è concesso anche per le attività di memorizzazione temporanea, dettate da ragioni solo tecniche (anche in termini temporali) per le miglior esecuzione del servizio. Nulla dice più di quello che sarebbe stato ricavabile dal c. 1 in base ad ordinaria interpretazione teleologica , anche se così si evitano fastidiose discussioni.
Il c. 3 contiene una regola, che si ripete quasi identica anche nelle altre tipologie di provider (art. 15/2 e art.16 / 3), e dunque ne accenno qui. Si fa salva la possibilità che l'autorità (giudiziaria o amministrativa con funzioni di vigilanza: su quest'ultima sarebbe interessante ragionare per individuarla compiutamente ) esiga che il prestatore delle tre tipologie impedisca o ponga fine alle violazioni commesse o meglio che "in quel momento" risultino commesse (l'ordine può infatti anche essere messo in via d'urgenza id est solo cautelare). Si tratta dell'inibitoria cioè di quel provvedimento che proibisce un certo comportamento: in particolare, di proseguire quello in atto oppure di tenerlo (di nuovo o per la prima volta) in futuro. Nella fattispecie, può attuarsi nella dualità comportamentale menzionata della rimozione dei materiali (le informazioni) o -a monte- della disabilitazione dell'accesso: questo quanto al por fine alla violazione commessa. Quanto all'impedimento per il futuro, consisterà nell'implementare (oppure nell'utilizzare in modo appropriato se già ne dispone) i software (cosiddetti filtri) che individuano i materiali -allo stato- ritenuti illeciti. Si tratta in sostanza di una misura con finalità non sanzionatoria ma collaborativa .
La norma ripete pari pari quella corrispondente della direttiva, a parte il riferimento alla possibilità di disporlo anche in via d'urgenza: precisazione poco utile, poiché se l'inibitoria è ammessa in via definitiva, non si vede come la si possa escludere in via cautelare (tale essendo la via d'urgenza) . Essa vuole dire che, anche se il provider fruisce delle esenzione da responsabilità, ciò nonostante può essere soggetto ad inibitoria (v. pure cons. 45). L'affermazione è pacifica, alla luce del dettato normativo , e conferma che la reazione all'illecito non consiste solo nella responsabilità, nel senso di risarcimento del danno, ma anche in altre misure, la principale delle quali è appunto l'inibitoria . Non ci sono particolari problemi nell'interpretare il contenuto dell'inibitoria: la legge è sufficientemente chiara nel senso che deve trattarsi di cessazione o prevenzione relativamente a specifici materiali ovvero -come è stato sintetizzato- deve avere carattere cooperativo e non sanzionatorio .
Non affronto invece per problemi di spazio il tema della parte su cui debbano ricadere i costi d'implementazione dei filtri, anche se importante nella pratica e oggetto di diverse soluzioni a livello europeo . La normativa europea tace, mancando sia disposizione esplicita che norma implicita: né quest'ultima è ravvisabile nel secondo periodo del cons. 59 dir. 2001/29 («In molti casi siffatti intermediari sono i più idonei a porre fine a dette attività illecite»), che si riferisce al fatto che sono gli intermediari ad avere il controllo tecnologico e contrattuale dei materiali caricati . Il punto, come in genere la disciplina contenutistica dell'inibitoria, sarà allora regolato dai diritti nazionali e lo si desume pure dall'ultimo periodo del cons. 59 dir. 2001/29 («Le condizioni e modalità relative a tale provvedimento ingiuntivo dovrebbero essere stabilite dal diritto nazionale degli Stati membri») e dall'analogo dictum (non si può scrivere "regola", "disposizione" etc.) del secondo periodo del cons. 23 dir. 2004/48 (uguale al prec., tranne che per la sostituzione del termine «ingiuntivo» con «inibitorio») . La disciplina contenutistica europea sul punto pare limitarsi ai vaghissimi criteri (nemmeno clausole generali, direi, dato che è difficile individuare gli standard di rinvio), posti dall'art. 3 dir. 2004/48 § 1 e 2 per le «misure e procedure», concetto nel quale le ingiunzioni rientrano , nonché -come al solito- nel limite della non incompatibilità col diritto UE.
I casi reali discussi di access-mere conduit sono pochi. Ricordo Mc Fadden c. Sony , in cui la C.G. ha così qualificato la messa a disposizione del pubblico di una rete wifi all'interno (forse anche all'esterno) di un negozio da parte del titolare. La Corte ha detto che: i) nessun altra condizione è richiesta per l'applicazione dell'art. 12 dir, oltre a quanto espressamente ivi richiesto: in particolare non è necessario un rapporto contrattuale ad hoc né che sia stata fatta pubblicità di questa iniziativa (§§ 44-54); ii) il dovere di prevedere l'immediata rimozione/disabilitazione -ex art. 14 § 1 lett. b)- non è applicabile per analogia a detto tipo di internet provider (§§ 62-65; più per impossibilità tecnica che per esclusione di principio, parrebbe); iii) il soggetto leso può chiedere al provider la rimozione/disabilitazione, ma non un risarcimento del danno o rimborso di spese legali (§ 79); iv) è compatibile con l'art. 12 (e con le dir. 2001/29 Infosoc e 2004/48 c.d. enforcement) un'inibitoria, che lasci la scelta della misura restrittiva al fornitore di accesso, anche se questa poi si limita ad imporre una password agli utenti, però « nei limiti in cui gli utenti di detta rete siano obbligati a rivelare la loro identità al fine di ottenere la password richiesta e non possano quindi agire anonimamente, circostanza che spetta al giudice del rinvio verificare» (5°, 9° e 10 ° questione pregiudiziale, §§ 80 ss, spt. § 101) .
E' stata affermata la natura "speciale" della disciplina del mere conduit, stante il favor ivi contenuto: con la conseguente inapplicabilità analogica a casi non previsti . Ora, intendendo "speciale" come "eccezionale" ex art. 14 preleggi, la peculiarità della disposizione (che arrivi al punto della eccezionalità ex art. 14 prel., è da vedere) parrebbe stare nel fatto che, per fruire del safe harbour, chi presta questo tipo di servizio internet può limitarsi a provare il (non) ricorrere dei tre requisiti posti dal c. 1 e niente più. In particolare è esclusa una valutazione della sua condotta in termini di colpa/negligenza, come previsto dalla disciplina dell'illecito aquiliano.
Ponendo la regola circa l'hosting provider (art. 14 § 3), la Direttiva menziona la possibilità per gli Stati membri di definire procedure per la rimozione delle informazioni o la disabilitazione: probabilmente aveva in mente la procedura di notice and takedown del diritto statunitense. Ne segue che questa, qualora venga istituita a livello nazionale, è liberamente regolabile dallo Stato, non essendo oggetto di armonizzazione, dal momento che la Direttiva stessa rinvia in modo esplicito la competenza nazionale e senza obbligatorietà . La precisazione è utile, perché avrebbe potuto invece essere intesa come materia strumentalmente necessaria a creare armonizzazione sulla disciplina della responsabilità: invece la Direttiva chiarisce che esula dal proprio ambito applicativo e compete solo agli Stati, qualora vogliano istituirla (quindi compete loro sia nell'an sia nel quomodo). Potrebbe a dire il vero contestarsi ciò e sostenere -solo in astratto- che la procedura in questione fosse rilevante ai fini della creazione di un mercato unico ben funzionante per i servizi internet. Ad esempio la nuova Direttiva copyright impone agli Stati di adottare dei meccanismi di reclamo e ricorso, che però, dato il tenore della norma, par da intendere come meccanismi che operino ex post e cioè dopo che la rimozione o disabilitazione siano già avvenute. Ma così ha disposto il legislatore europeo. Tuttavia un'indicazione con rilevanza ex ante non manca e consiste nella necessità che la richiesta del titolare sia debitamente motivata. Il legislatore italiano, però, non ha colto questa possibilità per la dir. 2000/31, anche se potrebbe essere introdotta ora con una semplice modifica al d. lgs. 70/2003, che imponesse un contraddittorio con l'utente, al quale venisse trasmessa l'istanza del sedicente titolare con concessione di un breve termine per repliche .
14. Il caching provider (art. 15 d. lgs. 70/2003)
Il secondo tipo di provider regolato è quello che conduce un'attività di memorizzazione temporanea cosiddetta caching. Il "Web caching è la caching di documenti web (pagine HTML, immagini, ecc.) per permettere di ridurre l'uso della banda e il tempo di accesso ad un sito web. Una web cache memorizza copie di documenti richiesti dagli utenti, successive richieste possono essere soddisfatte dalla cache se si presentano certe condizioni" . Si capisce dunque perché questo tipo di memorizzazione automatica, intermedia e temporanea non generi responsabilità, se effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari e a loro richiesta (articolo 15 c. 1 prima parte). La legge però aggiunge una serie di ulteriori condizioni per fruire dell'esenzione, alcune delle quali non sono di immediata comprensione .
La prima (lett. a) è la più semplice da interpretare e consiste nel non dover modificare le informazioni stesse: la modifica pare da riferire al contenuto trasmesso (v. cons. 43 dir) .
La condizione sub b) sembra da intendere nel senso che non deve modificare o violare le condizioni di accesso ai dati presenti nella fonte originaria (la conformità dunque è rispetto alla fonte originaria): e cioè nel senso di non eludere restrizioni o di non modificare altri dati relativi all'accesso (come ad es. la sua localizzazione e cioè che non faccia apparire una URL diversa da quella vera ). In realtà la norma ha ampia portata, per cui fa perdere il safe harbour qualunque modifica della disciplina di accesso ai dati presente nella fonte.
Probabilmente fa perdere il safe harbour anche il mero violare un eventuale divieto di realizzare copie cache delle pagine di un sito (da vedere, allora, se basti un divieto espresso in linguaggio naturale oppure -come parrebbe- debba essere realizzato nel modo tecnologicamente adeguato per essere colto in automatico dai crawlers dei motori di ricerca) .
le condizioni sub c) e sub e) hanno a che fare con il rapporto tra i dati memorizzati in cache e i dati originari e più precisamente l'aggiornamento dei primi rispetto ai secondi. La lettera sub c) impone l'onere di conformarsi ad eventuali standard di aggiornamento, che possono essere ritenuti "ampiamente riconosciuti e utilizzati dalle imprese del settore" . Si tratta insomma -soprattutto per la lett. c)- di un classico esempio di clausola generale e in particolare di diligenza professionale, la quale curiosamente bypassa la definizione breve e va a concretizzarsi direttamente nel rinvio alle fonti esterne, secondo quanto aveva già colto Mengoni nella sua definizione del concetto di clausola generale. In breve, è come se la legge avesse imposto direttamente un obbligo di diligenza relativamente all'aggiornamento.
Altri fa riferimento alla necessità di non trattenere le informazioni in cache per troppo tempo, dato che le pagine web sono oggetto di modifiche frequenti, sicchè la loro visione non aggiornata sarebbe di danno allo stesso provider. Il primo punto pare persuasivo, dato che la frequenza di svuotamento della cache incide sull'aggiornamento richiesto dalla lett. c). Il secondo punto lo è meno: la ragione dell'onere non sta nella tutela dell'interesse del provider, il quale baderà a sé stesso esercitando la libertà di impresa, quanto piuttosto nella tutela del pubblico dei navigatori: ed anzi sta nella tutela dei titolari delle situazioni giuridiche coinvolte nell'informazioni de quibus circa il loro diritto di controllare la diffusione quali-quantitativa dei dati che li riguardano. Quindi il dire che risulta determinante il fattore tempo, nel senso che, se la memorizzazione da temporanea diventa duratura, scatta la disciplina dell'hosting , è inesatto: la memorizzazione può essere duratura e rimanere tipologicamente caching, ma deve i) essere sottoposta ad aggiornamento ex lett. c) art. 15 d. lgs. 70/2003; e poi ii) essere appunto solo una cache cioè "specchio" di quanto memorizzato in un sito di origine.
La lett. e), dicevamo, riguarda sempre la questione dell'aggiornamento delle informazioni memorizzate in cache: solo che -a differenza dalla lettera c), che opera ex ante- qui il provider interviene ex post. Ex post nel senso che deve prontamente rimuovere le informazioni o disabilitare l'accesso, appena venuto a conoscenza del fatto che queste sono state rimosse nella loro sede originaria o che è stato disabilitato l'accesso alle medesime (a qualunque titolo: conta il dato oggettivo della sopravvenuta assenza in quel luogo, a prescindere da una correttamente formatasi volontà sottostante tali azioni, come invece i termini "rimozione" e "disabilitazione" potrebbero far pensare) oppure che la rimozione o disabilitazione sono state disposte da un giudice o da un'autorità amministrativa (sembra di capire che lo questo ordine dell'autorità giudiziaria o amministrativa riguardi la sede originaria, non il provider stesso, perché in tal caso è lecito presumere che il legislatore si sarebbe espresso in modo diverso ). In tal modo si dovrebbe ad es. evitare che la lesione, già arrecata, venga perpetuata .
In sintesi le due lettere c) ed e) riguardano l'aggiornamento e la "coerenziazione" tra la fonte e la memorizzazione in cache: la lettera c) impone di farlo in via preventiva secondo gli standard di settore, mentre la lettera e) lo impone ex post cioè dopo aver ricevuto notizia della modifica nella fonte originaria. Ampliando la sintesi, le lett. b-c-e- riguardano tutte il rapporto tra memorizzazione cache e memorizzazione nella fonte originaria: la prima relativamente alle condizioni di accesso, le altre relative ai contenuti.
Da ultimo, la lettera d), quella dal significato meno chiaro, pare riferirsi alla possibilità che il provider setti la memorizzazione cache in modo da interferire nel (cioè ostacolare il) funzionamento di tecnologia (programmi) che i titolari dei diritti, coinvolti nelle informazioni, possano utilizzare per controllare la diffusione quali-quantitativa delle informazioni stesse . La disposizione non precisa chi è il soggetto che può aver interesse ad avvalersi di soluzioni tecnologiche per raccogliere dati «sull'impiego delle informazioni»: ma parrebbe logico ritenere che fosse il titolare delle informazioni stesse o meglio il titolare del diritto ivi rappresentato o espresso. Se così è, immagino che il riferimento implicito sia soprattutto ai titolari di diritti di P.I. o simili, che tengano sotto controllo la diffusione delle loro creazioni o segni distintivi. Anche qui c'è un riferimento agli standard di settore, ma in senso diverso (opposto, verrebbe da dire) rispetto alla lett. c): in quest'ultima, come visto, il riferimento è all'onere gravante sul provider, di rispettare gli standard di aggiornamento e coerenziazione; nella lett. d), invece, il riferimento è agli standard utilizzabili dai titolari dei diritti, con i quali non deve interferire la memorizzazione cache praticata dal provider.
Infine al c. 2 è disposta la possibilità di inibitoria, come poi nell'art. 16 c. 3 e nel precedente art. 15 c. 23, cui rinvio. Secondo un a. la disposizione sarebbe non necessaria, dato che è prevista nel cons. 45 : ma incomprensibilmente, dato che da un lato il recepimento è obbligatorio, trattandosi di direttiva e non di regolamento e, dall'altro, che il considerando non ha efficacia vincolante.
15. Cenni sul contenzioso intorno a queste prime figure di provider
Queste prime due figure di provider hanno generato poco contenzioso . Va però accennata la lite RTI c. Yahoo che ha riguardato il caching provider. RTI citò in giudizio Yahoo per violazione dell'inibitoria emanata da Trib. MI 09.09.2011 n. 10893-RG 79619/2009 e in subordine per violazione ("originaria" potremmo dire, non "derivata" dall'inibitoria) dei diritti di RTI. Il Trib. Milano con sentenza 25.09.2014 n. 11295-RG 19226/2012 respinge la domanda rilevando che nella sentenza del 2011 il comando era riferito alla sezione Video del portale Yahoo, mentre le violazioni ora portate in giudizio riguardavano il motore di ricerca Yahoo Italia Search. A parte ciò, entrando nel merito, il Tribunale ha ritenuto che la funzione di motore di ricerca, consistente nell'offerta di link correlati alla richiesta dell'utente, va inquadrato come cache provider, in quanto neutrale rispetto ai dati provvisoriamente memorizzati (§ 3). Ha aggiungo che la stessa conclusione vale per i connessi servizi di embedding (riproduzione sul sito Yahoo di immagini collocate nel sito d'origine) e di suggest search (§ 4). Circa il linking e il suggest search, il giudizio è condivisibile: non c'è nemmeno la riproduzione o comunicazione al pubblico. Circa l'embedding, il giudizio appare invece più dubbio, dato che non pare rientrare nel concetto di «memorizzazione effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta» ex art. 15. Sarà anche vero che è totalmente automatizzata (p. 23), ma non rispetta il predetto requisito. Il Trib. dice che il frame del sito di origine, presente sul portale Yahoo, è conseguenza di una scelta non di quest'ultimo ma del primo (p. 23). Se effettivamente Yahoo non potesse assolutamente evitare ciò, allora la cosa forse cambierebbe: forse, però, visto che anche in questo caso non si rispetterebbe il requisito indicato, che attiene al funzionamento tecnico-informatico del servizio. Ma pare dubbio che non possa impedire la riproduzione di queste immagini .
La Cassazione, adita ex art. 348 ter c.p.c. a seguito della dichiarazione di inammissibilità dell'appello, ha confermato l'esattezza della sentenza di primo grado, pur se senza approfondimenti degni di rilievo : ha confermato, da un lato, l'esattezza della qualificazione del motore di ricerca come caching provider e, dall'altro, ciò che la legge dice chiaramente e cioè che il provider non ha alcun dovere di rimozione/disabilitazione prima dell'ordine dell'autorità .
Una decisione romana, ravvisando la qualità di mere conduit in Telecom, ha affermato che l'unica violazione concerneva il mancato avviso ex art. 17 c.3 d. lgs. 70/2003, per cui il suo titolo di responsabilità era diverso da quelli degli utenti/uploader. Per questo Telecom non poteva essere destinataria di provvedimenti repressivi della violazione da costoro commessa, dal momento che, non essendo costoro presenti in causa, non era possibile procedere ad accertamento della violazione da loro compiuta. Né in senso contrario si potrebbe opporre né l'inibitoria ex art. 14, c.2, che spetterebbe solo al giudice che accerta la violazione primaria né l'inibitoria ex art. 163 l. aut., che in nulla amplierebbe il raggio d'azione dell'inibitoria ex d. lgs. 70/2003 . L'interessante iussum cautelare richiederebbe maggior esame, sostanziale e processuale (anche sul fatto che la corresponsabilità ex art. 2055 c.c. di solito dà luogo a litisconsorzio facoltativo anziché necessario), per cui qui mi limito ad una breve osservazione. La sua apparente logicità potrebbe essere scalfita dal fatto che, anche si trattasse di hosting provider ex art. 16 d. lgs. 70/2003, la sua soggezione ad inibitoria ex c. 3 prescinde dal titolo di responsabilità e cioè esiste pure se egli non sia corresponsabile: è sufficiente che egli sia l'host del materiale illecito. Per cui processualmente potrebbe ravvisarsi nell'inibitoria ex c.3 un'azione in cessazione soggettivamente autonoma, sganciata dall'accertamento verso i titolari del fatto illecito. Analogamente potrebbe ragionarsi per il caso di mere conduit: il fatto che il titolo di responsabilità sia diverso da quello degli utenti, non dovrebbe impedire un accertamento della condotta degli utenti stessi limitato al solo ruolo di intermediario, finalizzato ad ottenere l'inibitoria. Tale accertamento, da un lato, sarebbe concettualmente diverso da quello costituito dalla violazione dell'art. 17 c.3 e, dall'altro, sarebbe naturalmente inopponibile agli utenti, uploader del materiale illecito.
In tema di search engines, è stato acutamente rilevato che la C.G. in GC ed altri c. Google, C-136/17, 24.09.2019, ai §§ 45-47, insegnando come applicare gli artt. 8 §§ 1 e 5 della dir. 1995/46 o gli artt. 9 § 1 e art. 10 del reg. 2016/679 c.d. GDPR, ha esplicitamente costruito uno safe harbour per detti motori, così costruendo di fatto uno speciale regime di notice and take down all'interno dell'art. 9 GDPR (riprendendo uno spunto delle Conclusioni dell'Avvocato Generale) . Il passaggio è il seguente: «Pertanto, tenuto conto delle responsabilità, competenze e possibilità del gestore di un motore di ricerca in quanto responsabile del trattamento effettuato nell'ambito dell'attività di tale motore di ricerca, i divieti e le restrizioni [di cui agli artt. appena citt.] possono applicarsi ( ) a tale gestore solo a causa di tale indicizzazione e, quindi, per il tramite di una verifica da effettuare, sotto il controllo delle autorità nazionali competenti, sulla base di una richiesta presentata dalla persona interessata». Il punto è importante (meriterebbe specifico esame). A prima vista sembrerebbe trattarsi di un safe harbour speciale o meglio autonomo da quello della dir. 2000/31, dato che la Corte non la menziona: per cui pare trattarsi di un'applicazione diretta del canone della diligenza, esigibile da un internet service provider. Ricorre poi una significativa differenza, rappresentata dal fatto che l'illiceità è qui costituita non da materiali altrui, bensì dalla condotta stessa del motore di ricerca (la sua indicizzazione del dato altrui) .
Ricordo solo -data la scarsa chiarezza delle condizioni per fruire del Safe Harbor dell'articolo 15 (art. 13 dir. 2000/31)- l'interpretazione o meglio un esempio fornito da Cass. 7709/2019 circa la lettera B («si conformi alle condizioni di accesso delle informazioni»). Secondo la Corte un esempio si ha quando il caching provider «ometta di rendere disponibili al pubblico nella memoria cache delle informazioni che invece non sono tali nel sito di provenienza» (p. 8, sub §3.1): dovrebbe però esserci un errore, dal momento che la norma pare voler dire che si fruisce dell'esenzione, quando le informazioni o il loro accesso nella memoria cache siano conformi a quanto è presente sul sito originario. In breve la coerenziazione tra memorizzazione cache e quella nel sito originario dovrebbe portare a leggere l'inciso della cit. S.C. come se dicesse «Omette di rendere disponibili al pubblico nella memoria cache informazioni che invece sono tali nel sito di provenienza» oppure «rende disponibili al pubblico nella memoria cache informazioni che invece non sono tali nel sito di provenienza». Se così fosse, però, l'interpretazione non parrebbe persuasiva, dal momento che, parlando di condizioni di accesso, la legge pare riferirsi proprio non ai contenuti, ma alla possibilità completa o ristretta di accedervi: l'esempio della S.C. si attaglia. invece. alla lettera c) oppure alla lett. e) .
Sempre di Cass. 7709/2019 va ricordato il principio di diritto, pure di dubbia esattezza, secondo cui «nell'ambito dei servizi della società dell'informazione, la responsabilità del cd. caching, prevista dall'art. 15 del d.lgs. n. 70 del 2003, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall'ordine proveniente da un'autorità amministrativa o giurisdizionale» (§ 3.1, in fine).
Infatti, da un lato, può essere fuorviante menzionare solo l'ordine dell'autorità, quando invece l'articolo 15 lettera e) menziona anche altri casi. Dall'altro lato, ricorre il (frequente, invero) errore, secondo cui il non rispettare le condizioni poste dall'articolo 15 c. 1 (come dall' articolo 16 c. 1 e dall'articolo 14 c. 1) comporta automaticamente l'affermazione di responsabilità. Al contrario, trattandosi di esenzione, il loro mancato rispetto comporta semplicemente la perdita della stessa, dovendosi poi giudicare secondo le norme comuni (anche se è probabile come si è detto sopra, che la condotta sia negligente e dunque si arrivi ad un'affermazione di illiceità appunto secondo dette norme comuni).
Da ultimo, questa Cassazione ribadisce al § 3.2 che al caching provider non è richiesto, anche quando sa di contenuti illeciti tramite diffida stragiudiziale o domanda giudiziale, di rimuoverli spontaneamente. Ciò è corretto, perché nell'art. 15 non c'è una norma come quella di cui all'articolo 16 c. 1 lett. B, che "obbliga" (meglio: onera) alla rimozione/disabilitazione appena notiziato. L'unica norma, che comporta un dovere per il caching provider di attivarsi, è allora l'articolo 17 comma 2, ove però il dovere consiste solamente nell'informare le autorità ed eventualmente fornire le informazioni indicative sul proprio utente .
16. L'hosting provider (art. 16 d. lgs. 70/2003). Esatta attuazione delle norme europee?
Veniamo infine all'articolo 16 che regola il terzo tipo di provider, cosiddetto hosting provider, dato che è colui che memorizza in via permanente i dati caricati dall'utente. Si tratta della fattispecie più frequente e comunque quella, sulla quale si son sviluppati massimamente il contenzioso e l'attività interpretativa della dottrina. E' proprio così che vengono a realizzarsi le attività lesive più disturbanti: sono infatti le piattaforme, ospitanti contenuti in via permanente destinati alla pubblica visione, a possedere maggiore maggior potenzialità lesiva.
L'incipit è lo stesso dell'articolo 14 e 15. Si dice che il provider non è responsabile qualora ricorrano le condizioni poi elencate. Non è chiaro se le due condizioni (lett. a e lett. b) siano poste in via alternativa ovvero congiuntiva: il tenore di quello nazionale parrebbe legarle invece tramite una congiuntiva a differenza dalle disposizioni della dir..
La normativa comunitaria con la disgiuntiva sembra porre due condizioni diverse in base a due specifiche situazioni (cioè una per ciascuna situazione), a seconda che il provider sia o meno a conoscenza della illiceità dei materiali ("dell'attività o dell'informazione") oppure -nel caso di azioni risarcitorie- sia o meno a conoscenza di fatti che comunque rendano manifesta tale illiceità (cioè sempre dell'attività o dell'informazione) . Nel caso (e fino a che) "non sia effettivamente a conoscenza" di ciò, il provider fruisce dell'esimente. Nel caso invece in cui ne sia a conoscenza, il provider è esentato solo se, appena venuto a conoscenza di tali fatti , agisce immediatamente per rimuovere i contenuti e/o disabilitare l'accesso. In breve, la costruzione dovrebbe allora essere la seguente: il provider non è responsabile i) se non sa; oppure ii) se sa, purchè, appena venuto a sapere, rimuova i contenuti e/o disabiliti l'accesso.
In generale, la trasposizione nazionale presenta due principali problemi interpretativi, riguardanti l'uno il rapporto tra la lett. a) e la lett. b) e, l'altro, la sola lett. b). Tuttavia qui li distinguo solo per comodità espositiva, dato che la soluzione dell'uno influenza quella dell'altro e dunque l'interpretazione deve procedere contestualmente. L'interpretazione è complessa, anche perché bisogna tener conto pure di quanto dispone l'art. 17, soprattutto il suo c. 3.
Quanto al primo problema, non dicendo nulla, la legge per alcuni sottintende una congiuntiva tra la lett. a) e la lett. b) (necessità di entrambi i requisiti: tesi cumulativa) anziché una disgiuntiva (sufficienza di uno solo: tesi disgiuntiva). La tesi parrebbe da respingere almeno per tre motivi: uno di logica e gli altri di interpretazione complessiva, che tiene conto pure del secondo problema interpretativo dell'art. 17. Quanto al primo motivo, la tesi della congiunzione si baserebbe su un'interpretazione illogica, se non erro. Infatti si avrebbe che, per fruire del safe harbour, il provider dovrebbe trovarsi contemporaneamente nello stato soggettivo di non conoscenza (lett. a) e di conoscenza dell'illiceità (lett. b): il che non è possibile, potendosi chiedere o l'uno o l'altro, ma non entrambi. Si potrebbe obiettare che l'illogicità non esiste, dato che la lett. b) per il caso di conoscenza opera in un momento successivo a quello della lett. a) e cioè opera proprio quando il provider sia stato notiziato. Questo però non infirma il ragionamento, in quanto conferma invece che i due requisiti sono alternativi e cioè non possono operare nella medesima fattispecie concreta (conoscenza/non conoscenza). Per cui è più esatta la disgiuntiva europea, la quale potrà essere inserita nel testo italiano in via interpretativo-correttiva.
Quanto al secondo motivo per respingerla, la tesi congiuntiva oblitera la valenza precettiva della lett. a), se non erro. Infatti pretendere in ogni caso la comunicazione dell'autorità (lett. b), comporta che per ciò solo il provider sia sempre a conoscenza dell'illiceità dei file: la comunicazione infatti sarà motivata proprio in questo senso. Quindi la lett. a) perderebbe rilevanza e ciò in pratica equivarrebbe alla sua abrogazione. Il che non pare ammissibile, se esistono altre vie interpretative.
Il terzo motivo per respingerla è dato dal fatto che la legge delega, pur essendo muta sul punto (al pari dell'art. 16 d. lgs. 70/2003), intendeva però "dare organica attuazione alla direttiva 2000/31/CE": per cui può dirsi che vada interpretata come la dir. stessa e quindi con la disgiuntiva.
In senso contrario e cioè sfavorevole alla tesi disgiuntiva, diversi autori osservano che non pretendere un ordine dell'autorità renderebbe il provider arbitro del conflitto tra l'interesse del soggetto leso e quello dell'utente/cliente/uploader. Il che, tenuto conto della probabile inclinazione a privilegiare il primo, comporterebbe il rischio di lesione del secondo, soprattutto circa l'esercizio del libertà di manifestazione del pensiero. L'obiezione è seria ma, tutto pesato, pare preferibile rimanere con la tesi disgiuntiva. Rimando alle osservazioni sul punto esposte poco sotto.
Il secondo problema, di più difficile soluzione e vero punto di divergenza tra la norma nazionale (art. 16 c.1 lett. b) e quella europea (art. 14 c.11 lett. b), riguarda la necessità di comunicazione dell'autorità, richiesta dalla prima ma non dalla seconda. Abbiamo appena visto infatti che l'esenzione italiana, nel caso che il provider sappia dell'illiceità, spetta solo se provveda ad immediata rimozione/disabilitazione "su comunicazione dell'autorità, competenti": cioè, parrebbe, la conoscenza, che fa scattare l'onere di rimozione/disabilitazione, è solo quella "qualificata", in quanto proveniente da un'Autorità. Il punto è' qui solo anticipato per chiarezza, ma verrà ripreso poi.
17. Esenzione da cosa?
Torniamo alla lett. a) la quale pure non è di cristallina chiarezza, pur se senza differenze rispetto alla dir. Qui varia la qualità della conoscenza richiesta a seconda che si tratti di azioni giudiziarie non risarcitorie (art. 16 c. 1 lett. a) prima parte) oppure risarcitorie ((art. 16 c. 1 lett. a) seconda parte). Nel primo caso deve trattarsi di conoscenza effettiva della illiceità dell'attività o delle informazioni, mentre nel secondo caso basta che sia al corrente di fatti, che rendano manifesta dette illiceità e cioè che questa sia percepibile in modo indiretto ma chiaro.
Non è difficile capire perché simile disposizione sia stata oggetto di diverse interpretazioni.
Si è detto da alcuni -è forse la tesi più diffusa- che la prima parte concerne la responsabilità penale e la seconda quella civile . In senso contrario è stata rilevata la sua incongruità perché l'elemento soggettivo per la pretesa responsabilità penale ("conoscenza effettiva dell'illiceità") sarebbe meno accentuato di quello per la pretesa responsabilità civile ("illiceità manifesta"): sul presupposto che il primo sia appunto un quid minus rispetto al secondo, intendendo cioè la prima espressione (per la responsabilità penale) come sufficienza di una illiceità "anche solo dubbia", ed intendendo la seconda espressione (per la responsabilità civile) come necessità di una illiceità manifesta cioè conclamata . La critica non pare calzante, dato che il secondo requisito pare invece più attenuato: si riferisce non alla consapevolezza della illiceità delle informazioni/attività non diretta ma solo indiretta e cioè relativa a fatti da cui discenda (pur se pianamente) l'illiceità delle informazioni/attività medesime. In altre parole, la norma pare negare il safe harbour, se il provider ha conoscenza diretta dell'illiceità delle informazioni ospitate (perché ad es. gli sono state portate a conoscenza dichiarazioni espresse o addirittura è compartecipe anche se magari defilato ) oppure se ce l'ha indiretta, quando l'oggetto della conoscenza è costituito da fatti altamente sintomatici dell'illiceità stessa . Ecco allora ristabilita la maggior gravità di intento soggettivo per la presunta responsabilità penale e minore per quella civile . In pratica la prima chiede un dolo per illecito di compartecipazione all'illecito dell'utente mentre per la seconda basta la mera negligenza/colpa .
Secondo altri la lett. a) disciplinerebbe solo la responsabilità civile e le sue due regole si riferirebbero l'una al dolo (consapevolezza dell'antigiuridicità) e l'altra alla colpa (consapevolezza dell'esistenza di materiali sospetti) .
La disposizione però non precisa alcunché e dunque pare preferibile ravvisarvi l'esenzione da responsabilità non solo civile. Anche se di fatto sarà quasi sempre quella penale, lascerei aperta la possibilità a qualunque altra responsabilità, ad es. amministrativa . Anzi l'intenderei nel modo più ampio e cioè come esenzione da qualunque conseguenza giuridica sfavorevole . Questo pare infatti l'approdo più sensato di una normativa sovranazionale, che ha voluto trovare un compromesso tra gli Stati membri su un attività (quella del provider) che costituiva un mezzo di assai più rapida diffusione, rispetto al passato, sia di materiali illeciti che di informazioni e idee lecite: e che dunque preannunciava potenzialità enormi. Pertanto, per proteggere questa industria nascente (quindi forse anche per competere adeguatamente con gli Stati Uniti), detto compromesso è stato trovato, da un lato, nell'individuare un'area, entro cui gli operatori avessero la certezza di essere esente da ogni conseguenza pregiudizievole, e, dall'altro, nell'esplicitare che non erano gravati da un dovere generale di controllo . Si è giustamente osservato che «il quadro normativo di riferimento considera dunque, in linea di principio, gli Isp come meri intermediari e come tali non sottoposti alla disciplina dettata dagli art. 15 e 21 Cost. per i fornitori di contenuti» .
Lo spirito dunque della disciplina posta dall'art. 16 c.1 sembra essere che l'esenzione c'è, fino a che il provider non sappia nulla (purché non sia colposamente ignorante: probabilmente l'illiceità manifesta va intesa come necessità di una colpa grave) oppure, qualora sappia, se ha subito rimosso/disabilitato. C'è però una discrepanza non piccola tra il testo comunitario e il testo nazionale (secondo problema interpretativo, sopra anticipato), la quale complica l'interpretazione.
La discrepanza sta nel fatto che mentre la lettera a) è quasi uguale , nella lettera B la norma nazionale inserisce il requisito della comunicazione da parte dell'autorità: «non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso».
La disposizione nazionale non è ben scritta e risulta di difficile interpretazione. Non è chiaro se la comunicazione delle autorità sia riferita alla conoscenza dei fatti (cioè come se fosse: "non appena a conoscenza di tali fatti per aver ricevuto comunicazione delle autorità competenti") oppure all'azione di rimozione o disabilitazione (come se fosse: "non appena a conoscenza di tali fatti, ed essendogli stato comunicata la necessità di rimozione da parte delle autorità competenti, agisca immediatamente "). Nel primo caso non dovrebbe però esserci la virgola tra il primo periodo il secondo della lettera b); nel secondo caso, più che comunicazione, dovrebbe essere stato usato il termine "richiesta" oppure "ordine". In ogni caso rispetto al testo europeo c'è un requisito in più, che è quello della necessità di un qualche intervento da parte dell'autorità . Come anticipato, questo requisito nemmeno è menzionato tra i criteri direttivi della delega, i quali riproponevano tale e quale la corrispondente norma della dir. . Visto che la delega è uguale alla direttiva e dunque non ci sono problemi di incompatibilità tra le due, non c'è il conseguente rischio di disapplicazione della prima da parte del giudice . Il problema è a valle ed è un problema di coerenza del decreto delegato con la legge delega. L'inserimento del requisito della comunicazione da parte dell'autorità costituisce una scostamento non irrilevante dalla delega : con la conseguenza che questa norma o questa porzione di norma parrebbe incostituzionale (v. infra) e ciò per entrambe le possibilità interpretative accennate.
Addirittura pare essere incongrua la disciplina delle due lettere a) e b), se lette disgiuntamente . Secondo la lett. a), il safe harbour c'è fino a che non sa, il che significa che, se sa, risponde civilmente: a meno che -va aggiunto- provveda a rimuovere i contenuti e/o disabilitare l'accesso. Questa limitazione è ovvia e va aggiunta dato che non si può dire che il provider non è esentato se sa e poi non permettergli di liberarsi dalla responsabilità facendo l'unica cosa che è in suo potere: il venire a conoscenza spesso non dipende da lui, per cui gli si deve dare la possibilità di liberarsene e lo può fare solo tramite rimozione/disabilitazione (ed entro tempi brevissimi). Secondo la lett. b) -a parte la difficoltà interpretativa sopra indicata-, l'invocabilità del safe harbour la si perde se, ricevuta la comunicazione o la richiesta dell'Autorità, non si provveda anche qui alla rimozione/disabilitazione. Ma allora la necessità della comunicazione autoritativa pare diventare inutile, dato che, anche se manca ma il provider pur sempre sa dell'illiceità, alla luce della lett . a) può mantenere il safe harbour solo se provvede subito a fare la stessa cosa (rimozione/disabilitazione). Questo presuppone un rapporto disgiuntivo tra lett. a) e lett. b). Si potrebbe opporre che tra le due lettere corresse invece un rapporto congiuntivo e cioè che dovessero operare assieme: ma allora diventerebbe inutile la lett. a), dato che, per quanto egli sappia, dovrebbe attendere l'ordine dell'Autorità per l'obbligo/onere di rimuovere.
In breve, salvo errore, se i due requisiti son letti come congiuntamente necessari, è inutile la lett. a); se son letti come disgiuntamente necessari, diventa superfluo l'ordine dell'Autorità di cui alla lett. b)
18. L'hosting provider può attendere fino al ricevimento di un ordine dell'autorità senza perdere il safe harbour?
Approfondiamo il punto. Come anticipato, qualche dottrina ha sostenuto la necessità di attendere l'ordine dell'Autorità, per non mettere il provider nello scomodo ruolo di arbitro della liceità dei materiali, con rischio per qualunque scelta faccia: se accogliere l'istanza del soggetto sedicente leso (col rischio di violare il contratto con l'utente uploader) o se rigettarla, esponendosi però al rischio di azione giudiziaria da parte del medesimo . La tesi si basa su un'esigenza molto seria ma, alla fine, non pare condivisibile.
Infatti la necessità di un ordine dell'Autorità è esclusa sia dalla legge delega sia dalla Direttiva: che sia esclusa, lo si ricava dal fatto che entrambe non lo menzionano per l'hosting provider , mentre, quando hanno voluto richiederlo, lo hanno fatto espressamente . La tesi qui sostenuta è seguita dalla giurisprudenza europea e dal noto precedente Trib. Napoli Nord 3 novembre 2016 .
Allora la disciplina nazionale, in sintesi (tenuto conto pure dell'art. 17 c. 2), potrebbe essere ricostruita così: - se il provider nulla sa, non risponde (art. 16 c.1 lett. a) ; ii) se sa, non è tenuto a rimuovere i contenuti e/o disabilitare l'accesso fino a che non gli giunga un'ordine dell'Aut. (art. 16 c. 1 lett. b); -se sa ed anche senza alcun ordine dell'Aut., deve informare l'Autorità stessa (art. 7 c.2 lett. a) ; - a prescindere dal fatto che sappia o no, deve fornire le informazioni in suo possesso per identificare l'utente quando ne venga richiesto dall'Autorità.
E' vero che come sopra anticipato, la norma (art. 16 c. 1 lett. b)) pare affetta da vizio di incostituzionalità, laddove attribuisce rilevanza solo alla comunicazione dell'autorità, visto che: i) né la norma UE né la delega nazionale lo prevedono (l'incostituzionalità è naturalmente prodotta dal mancato rispetto di quest'ultima) in quanto dalla prima è desumibile la rilevanza della conoscenza comunque acquisita e tale è l'interpretazione della C.G.; ii) l'aggiunta nazionale modifica sensibilmente la composizione tra interessi confliggenti, posta da tale regola europea. Però, fino a che non venga dichiarata l'incostituzionalità, la norma vige: da noi, infatti, il giudizio di costituzionalità non è decentrato, ma accentrato presso il Giudice delle leggi . Nemmeno pare possibile disapplicarla per difformità dalla direttiva, stante l'inapplicabilità diretta di quest'ultima nei rapporti tra privati : l'orientamento, nonostante qualche "sbandata", pare essere fermo , dato che vanificherebbe la distinzione tra direttiva e regolamenti, molto chiara nel diritto costituzionale europeo.
Si potrebbe osservare che la possibilità per l'hosting provider, di attendere l'ordine dell'Autorità senza perdere il safe harbour, si appoggiasse alla norma sulla responsabilità civile posta dalla legge delega: col che verrebbe meno l'errore attuativo della delega, sopra visto. Secondo l'art. 31 c.1 lett. l), infatti, la legge delegata avrebbe dovuto attenersi al seguente criterio direttivo: "prevedere che il prestatore di servizi è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha usato la dovuta diligenza;". Potrebbe infatti dirsi (forse) che, come il risarcimento del danno spetta solo dopo l'inottemperanza ad ordine dell'Autorità, così fino al medesimo momento nessun onere di rimozione/disabilitazione incombe sul provider: con la conseguenza, per cui egli potrebbe mantenere i file denunciati senza perdere il safe harbour. In altre parole il requisito della comunicazione dell'Autorità, previsto dall'art. 16 c.1 lett. b d. lgs. 70/2003, avrebbe base giuridica nella cit. norma della legge delega.
Tuttavia non pare che le cose stiano così. Da un lato, questa norma della legge delega è stata attuata da altra norma del d. lgs. 70/2003 e cioè dall'art. 17 c.3. Dall'altro, la norma stessa riguarda solo il risarcimento del danno e cioè la responsabilità risarcitoria, mentre sulla disciplina del safe harbour (l'esenzione da responsabilità) la delega è uguale alla dir. Quindi, sotto il profilo formale, rimarrebbe la distonia tra delega e legge delegata in tema di safe harbour. Si è infatti sopra tenuto distinto il profilo -negativo- dell'esenzione da responsabilità (safe harbour) da quello -positivo- dell'ascrizione di responsabilità.
Potrebbe però replicarsi che, pur vero ciò sotto il profilo formale, nella sostanza comminare la responsabilità solo dopo l'inottemperanza ad ordine dell'Autorità finisce per influenzare anche l'individuazione del momento a partir da quale decorre l'onere di procedere a rimozione/disabilitazione . Ciò potrebbe parere sensato, in termini di politica legislativa astratta. Però, data la vigente convivenza di due ordinamenti giuridici (europeo e nazionale) e dato che il primo si limita a regolare l'esenzione da responsabilità e non l'affermazione della stessa (una norma come l'art. 17 c.3 non esiste nella dir.), va accettato che il vincolo europeo concerna solo l'esenzione: ed allora la distinzione va mantenuta. Ne segue allora che il provider, se ottempera già alla diffida stragiudiziale, fruisce appieno del safe harbour e la cosa finisce li. Il problema invece sorge se egli sceglie di disattendere la diffida di parte e attendere l'ordine dell'Autorità per la rimozione/disabilitazione, basandosi: i) o sulla tesi interpretativa cumulativa dell'art. 16 c.1 lett. a-b; ii) oppure, anche nell'ottica della tesi disgiuntiva, sul fatto che alla peggio perderà sì il safe harbour -profilo negativo- , consapevole però che la principale misura a suo carico (risarcimento del danno) -profilo positivo- non potrà scattare, atteso che l'art. 17 c.3 è inequivoco nel prevedere che ciò avvenga solo dopo l'inottemperanza all'ordine dell'Autorità .
Se così è, però (e nell'ottica della tesi disgiuntiva ), può sorgere il dubbio che la disciplina risarcitoria ex art 17 c. 3 prima parte d. lgs. 70/2003 sia incompatibile con la direttiva stessa: precisamente col suo safe harbour che, come più volte detto, è riconosciuto solo se la rimozione/disabilitazione avviene subito dopo la diffida stragiudiziale . E' vero che il legislatore ben può arricchire quella europea, dato che come noto «la direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi.» (art. 288 c.2 Tratta. UE). Bisogna però che la legge nazionale sia compatibile con la piena attuazione della direttiva. Il dubbio sollevato va però probabilmente respinto, in quanto la cit. disposizione nazionale non osta alla piena applicazione di quella europea. Che lo Stato ricolleghi la (positiva) responsabilità per inottemperanza alla diffida stragiudiziale oppure all'ordine dell'Autorità, è indifferente per il comando europeo: a questo interessa solo che già dopo la richiesta di parte, se c'è pronta ottemperanza, operi il safe harbour. In altre parole, anche se la prassi sarà nel senso che i provider per lo più attenderanno l'ordine dell'Autorità per rimuovere o disabilitare, colui, che invece scegliesse di provvedervi sin dalla diffida stragiudiziale, fruirebbe in pieno del safe harbour: con piena attuazione della dir. .
19. Posizione di garanzia? Primo arbitro tra interessi in conflitto, da dirimere tramite congruo bilanciamento
Taluno parla di «posizione di garanzia» dell'internet provider , ma non pare opportuno, non corrispondendo all'usuale concetto di "posizione di garanzia". Quest'ultima, semmai, è propria dell'editore, non dell'intermediario digitale: la legge anzi vuol evitare proprio un simile status, rendendo l'internet provider responsabile solo quando sa "con ragionevole sicurezza" della presenza di materiali illeciti. Del resto parlare di garanzia per la situazione successiva all'ordine dell'autorità pare poco esatto, trattandosi solo di adempimento di un ordine ad hoc. La posizione di garanzia, come viene normalmente intesa, è ben più pregnante, essendo fonte di obblighi anche prima di ordini ad hoc dell'autorità e per il solo fatto di rivestire una certa carica connessa più o meno strettamente all'autore del fatto (come ad es. nella responsabilità dei "padroni" ex art. 2049 cc) . In sostanza, col concetto di "posizione di garanzia" si indicano i casi, in cui si risponde del fatto altrui o comunque quando il titolare è dotato di potere decisionale che permette di prevenire violazioni : mentre la responsabilità del provider per non aver ottemperato alla richiesta di rimozione (da chiunque provenga ) è responsabilità da fatto proprio. La disciplina complessivamente intesa, allora, pare all'opposto aver escluso per lui una responsabilità da posizione di garanzia ed averla invece ancorata solo alla propria omissione (omessa rimozione/disabilitazione).
Del resto il ruolo dell'internet provider di "primo arbitro" tra interessi confliggenti (utente uploader vs. terzo riguardato dalla informazione caricata) è inevitabilmente sempre più frequente, dato che le comunicazioni umane sempre più si spostano su internet (per non dire che, rispetto alle violazioni commesse, i casi poi portati in sede giudiziale saranno pochissimi e per i soliti motivi: incertezza giuridica, costi, disparità di posizione socioeconomica) . Si pensi al conflitto tra diritto alla riservatezza e diritto di cronaca. Vale la pena di riportare il passo pertinente in cui la C.G. ha così concluso, valorizzando il ruolo del motore di ricerca (Google): « - L'articolo 8, paragrafo 2, lettera e), della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore siffatto può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che includono dati personali rientranti nelle categorie particolari di cui all'articolo 8, paragrafo 1, ma il cui trattamento è incluso nell'eccezione di cui all'articolo 8, paragrafo 2, lettera e), sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell'articolo 14, primo comma, lettera a), della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare. - Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link ( ) deve - sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell'ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta - verificare, alla luce dei motivi di interesse pubblico rilevante di cui all'articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest'ultima disposizione, se l'inserimento di detto link nell'elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all'articolo 11 della Carta» . Compito non certo semplice per il provider , tenuto poi conto delle diverse tradizioni giuridiche nazionali , per il quale la moderazione umana è inevitabile .
Arbitro, naturalmente, non solo nell'an ma anche nel quomodo delle misure necessarie per rimediare: si v. la nota decisione C.G. 24.09.2019, C-507/17, Google c. Commission nationale de l'informatique et des libertés (CNIL) e molti intervenuti . Qui però le difficoltà per l'internet provider paiono essere superabili: la Corte pare infatti riferirsi al suo dovere di deindicizzare in modo geograficamente selettivo (UE/extraUE, in linea di massina) con modalità tali da evitare che la decisione sia aggirabile con stratagemmi tecnici. Addirittura Amazon, per gestire le allegazioni di violazioni brevettuali sul suo marketplace e non perdere venditori importanti, ha creato una propria procedura di notice and take down, sulla falsariga di quelle giudiziali (da qui il nomignolo "District of Amazon Federal Court"), che attualmente dovrebbe essere ancora allo stato sperimentale .
Sempre su questo tema è ancora intervenuta nel 2019 la C.G. dicendo che l'eventuale inibitoria si estende ai contenuti equivalenti a quelli accertati illeciti, anche se il giudice deve precisare i confini di tale equivalenza in modo da non costringere il provider a difficili decisioni sul punto . Si tratta di un tentativo della C.G. di semplificare la vita al provider, che deve decidere se il successivo caricamento riguarda materiali equivalenti o meno a quelli già dichiarati illeciti. La precisazione del giudice sarà naturalmente sempre poco soddisfacente: se troppo ristretta, è facilmente aggirabile; se troppo ampia, genererà molti dubbi nel provider e di conseguenza contenzioso in fase applicativa, con opposizioni all'esecuzione quando sia assistita da penali o astreintes .
Sul punto si vedano pure le recenti sezioni unite sul conflitto tra diritto di cronaca e diritto all'oblio (Cass, sez. un. 22.07.2019 n. 19.681). Secondo tale pronuncia, la ripubblicazione "a distanza di un lungo periodo di tempo" di una notizia soddisfa un interesse storiografico (cioè alla rievocazione) e non più di cronaca, sicchè va eseguita in forma anonima , dato che "il trascorrere del tempo modifica l'esito del bilanciamento" : a meno che "non sussista un rinnovato interesse pubblico ai fatti ovvero il protagonista abbia ricoperto o ricopra una funzione che lo renda pubblicamente noto" . Il § 9 si conclude con la precisazione: "la materia in esame di per sé sfugge ad una precisa catalogazione e richiede di volta in volta, invece, la paziente e sofferta valutazione dei giudici di merito".
Ebbene, inevitabilmente tale valutazione attenta incomberà, prima della lite, all'editore, ma potrà porsi anche per il provider: anche quest'ultimo dovrà farla, quando richiesto di rimuovere o disabilitare materiali in violazione del diritto all'oblio (anziché dei diritti soliti all'onore o reputazione o di proprietà intellettuale). E non si tratta di valutazione facile, dato che la SC così sintetizza gli orientamenti europei: «il bilanciamento tra l'interesse del singolo ad essere dimenticato e quello opposto della collettività a mantenere viva la memoria di fatti a suo tempo legittimamente divulgati presuppone un complesso giudizio nel quale assumono rilievo decisivo la notorietà dell'interessato, il suo coinvolgimento nella vita pubblica, il contributo ad un dibattito di interesse generale, l'oggetto della notizia, la forma della pubblicazione ed il tempo trascorso dal momento in cui i fatti si sono effettivamente verificati» (§ 7, in fine) . Si pensi solo alla valutazione: i) del quantum di tempo necessario per mutare la qualificazione da diritto di cronaca a diritto alla ricerca storiografica ; e/o ii) del quantum di rilevanza pubblica del soggetto; iii) del quantum di pubblicità dell'interesse pubblico alla diffusione . La dottrina ha approfondito il modo, con cui un provider europeo dovrebbe affrontare correttamente una richiesta di notice and take down basata sul diritto all'oblio, modo che dà bene l'idea della complessità della valutazione lasciata al provider. . Addirittura si dubita: -che nel diritto UE l'insegnamento, impartito dalla C.G. in Google Spain sul diritto all'oblio per i motori di ricerca, si applichi agli hosting providers e ai social ; - circa il modo con cui vada conciliato l'apparente conflitto tra disciplina sulla protezione dei dati e quella del safe harbour, alla luce delle disposizioni di reciproca salvezza (art. 2 § 4 reg. UE 2016/679; art. 1.5.b, dir. 2000/31) . A riprova della complessità del bilanciamento, sono arrivate le linee guida dell'European Data Protection Board per i motori di ricerca .
Che un bilanciamento tra così rilevanti interessi sia affidato ad un ente privato con fine lucrativo, quale è un internet provider, può sorprendere e preoccupare . Infatti queste imprese non hanno come obiettivo quello di rendere più sicure le comunicazioni on line oppure (quanto alla content moderation) quello di calibrare il bilanciamento tra la moderazione umana e quella algoritmica: piuttosto il loro scopo è «to hold and expand their dominion over networked information flows. They protect this position by, among other things, developing products that users cannot resist or acquiring rivals' emergent services and products to avoid any contraction of their market share. They also routinely rely on intellectual property law (such as patent and trade secrets laws), worker contracts (such as nondisclosure and noncompete agreements), and a wide assortment of other legal tools to preserve control over their internal decisionmaking processes. And, besides all of this, they also appeal to the variety of governments and jurisdictions around the world where their users reside, including authoritarian regimes with no compunction about imposing restrictions on political speech» . La content moderation dunque è un processo non statico, ma frutto di una negoziazione continua tra una pluralità di attori: policy teams, moderatori assoldati, user communities, governi, inserzionisti, mass media, civil society groups e esperti accademici. In pratica, è guidata da almeno "four sets of influencescorporate philosophy, regulatory compliance [a precetti mandatory o anche solo informal], profit maximization, and public outcry each of which affects what is possible, permissible, and visible on online platforms" .
Tuttavia la situazione non sembra allo stato evitabile, dato che, da un lato, le comunicazioni avvengono in misura preponderante tramite essi e, dall'altro, i provider sono nella miglior posizione tecnico-economica per prevenire o limitare i danni: per cui è ovvio che saranno i medesimi a procedere in prima battuta al bilanciamento predetto . Attribuir loro il dovere di intervento, dopo ponderazione degli opposti interessi nel singolo caso, appare allo stato giustificato o almeno non evitabile . Del resto la situazione non è nuova: non tanto diversa, infatti, sotto questo profilo (anche se assai più ridotta in termini quantitativi ed invece più estesa in termini di controllo dei contenuti ), era la situazione degli editori circa i contributi informativi ospitati. A meno di optare per soluzioni pubblico-dirigistiche (di natura vagamente espropriativa) delle relative attività di impresa, che dovrebbero però essere attentamente vagliate.
20. Inevitabilità del ruolo decisorio (e quindi censorio) su diritti soggettivi. Applicabilità dei diritti fondamentali anche verso enti privati come le piattaforme
In sintesi, allora nessuna stranezza se anche l'intermediario sia chiamato a fare valutazioni simili a quelle che le cit. sentenze demandano al giudice o all'editore. Come detto, la differenza rispetto all'editore è che il dovere (e/o onere) in tale senso sorge in capo al provider solo dopo che abbia "effettiva conoscenza" dei fatti: in pratica, dopo che sia stato avvisato dal titolare del diritto leso (anche se la notizia che fa scattare l'obbligo di rimozione/disabilitazione può arrivargli da qualunque fonte, direi). Il ruolo censorio delle grandi piattaforme (social network, soprattutto, ma pure motori di ricerca, mutatis mutandis) nel pubblico dibattito di idee, oggetto dei primi studi, è fonte di preoccupazione e dovrà essere ridimensionato oppure controllato, già giudizialmente prima che legislativamente: ad es. riconoscendole come luogo aperto al pubblico, in cui non si può impedire la libertà di riunione digitale o di parola, oppure come mass media la cui disciplina obbliga il gestore alla tutela del pluralismo , aggiornando la questione dell'applicabilità ai mezzi di informazione privati del dovere di garantire il c.d. pluralismo interno . La mancanza di alternative significative ai social media (o al motore di ricerca, mutatis mutandis), produce alcune conseguenze di rilievo, tra cui ad es.: i) legittima interventi governativi, senza rischio di censure per violazione del Primo Emendamento (basate sulle policies potenzialmente discriminatorie -per alcuni- delle piattaforme) ; ii) soprattutto, comporta che la libertà di espressione c'è solamente finche essi la tollerano. L'ordinamento dovrebbe fare un'eccezione alla state action doctrine o meglio estenderla, quando il potere privato diventa così grande da minacciare la libertà allo stesso modo in cui può farlo uno Stato (anche per la sua tutt'altro che nitida costruzione ): conclusione ineccepibile, se si pensa che le piattaforme «are becoming global arbiters of free speech» e che il divario, tra chi controlla le tecnologie e chi non vi ha accesso, diventerà incolmabile . Ovvero, gli interpreti dovrebbero interpretare evolutivamente il concetto, dato che l'assimilazione delle dominant platforms agli Stati nei loro requisiti costitutivi tradizionali, ha guadagnato crescenti consensi , tenuto conto che condizionano significativamente e unilateralmente la vita delle persone in settori importanti . E' insomma esatto che «[t]he more an owner, for his advantage, opens up his property for use by the public in general, the more do his rights become circumscribed by the statutory and constitutional rights of those who use it» ; pertanto è ora di chiedersi perché la violazioni «of the most basic values -speech, privacy and equality- should be tolerated just because the violator is a private enty rather than the government» .
La natura formalmente privata degli enti de quibus non osta a riconoscere che il rischio ora proviene non solo dagli Stati (o dalla mano pubblica), ma anche -anzi in certi casi, proprio come per la libertà di espressione, assai di più- da poteri privati. Ne segue che le guarentigie, faticosamente ottenute verso gli Stati quando lì stavano i rischi per le libertà personali, ora vanno riconosciute già de iure condito pure verso le piattaforme, nella misura in cui detti rischi ora derivano da loro . La valutazione, del se e da chi i diritti fondamentali siano lesi, va fatta in base al contesto storico-politico del momento in cui si pone la questione : si tratta infatti non di schemi astratti, buoni per tutte le stagioni, ma da applicare in base alle circostanze. Osservò William Beveridge (l'autore del celebre Rapporto Beveridge nel Regno Unito): «libertà non vuol dire soltanto essere al riparo dagli arbitrii governativi, ma vuol dire anche affrancamento dalla servitù economica derivante dall'indigenza, dalla miseria e da altri mali sociali; vuol dire libertà dai poteri arbitrari sotto qualsiasi aspetto. Un uomo che muore di fame non è libero; perché fino a che non si sa nutrito, egli non può avere altro pensiero che quello di soddisfare le sue necessità fisiche, e pertanto da uomo è ridotto in animale. Un uomo che non osa ribellarsi contro ciò che egli sente come un'ingiustizia inflittagli dal suo datore di lavoro o dal suo dirigente, per paura che questo lo condanni alla disoccupazione cronica, non è libero» .
La dottrina inizia a muoversi in questo senso , per cui è possibile un futuro adeguamento anche giurisprudenziale: possibile ma non probabile, dato che non mancano opinioni contrarie . In ambiente common law si discorre di digital due process oppure di information fiduciaries in relazione alle c.d. media companies (posizione quest'ultima ora convincentemente criticata, dato che, in presenza di frontale conflitto di interessi, è illogico e controproducente limitarsi a gravare le piattaforme di un vago legame fiduciario sulla falsariga di quello gravante su avvocati medici e notai ). Addirittura si osserva che l'approccio tradizionale, fondato sull'invocazione del Primo Emendamento come diritto assoluto e incomprimibile (posts as trumps, adattando l'espressione di Dworkin rights as trumps) è individualistico, limitante e superato, dovendo caratterizzarsi invece per la proportionality (bilanciamento sistematico tra interessi confliggenti) e la probability (considerazione del tasso di errori che la piattaforma può fare, entro certi limiti inevitabili e dunque da accettare) : anche se si tratta di posizione legata alla preminenza statunitense del diritto di parola (che forse sta dunque cambiando), da noi invece abbastanza pacifica, essendo agevolmente inquadrabile con il ricorso a principi o norme costituzionali, da un lato, e con la diligenza (tecnica), dall'altro. Infatti nel nostro ordinamento, visto che intercorre rapporto contrattuale tra l'utente e la piattaforma, già un buon passo sarebbe valorizzare la buona fede in executivis, opportunamente modulandola per tener conto dell'enorme disparità di potere contrattuale e cognitivo tra i contraenti, almeno quanto alla tutela individuale.
Il problema sorge proprio in relazione a quest'ultima circostanza, dato che la tutela individuale sarà assai raramente azionata in sede contenziosa. Si potrebbe anche pensare -alla luce ad es. del ruolo informativo fondamentale svolto dalle piattaforme in occasione della gravissima emergenza sanitaria, che ha colto il mondo intero all'inizio dell'anno 2020- ad una qualificazione come public utility (digitale), seppur de facto invece che de iure.
Qualche timido passo di consapevolezza è stato intrapreso a livello europeo modificando la disciplina dei servizi di media audiovisivi . Solo che le interessanti considerazioni astratte sul ruolo dei social media (cons. 4-5 della dir. 2018/1808) hanno poi portato alla scelta di normare solo le piattaforme di condivisione video , pur affermandosi che la libertà di espressione è «fondamento dei sistemi democratici» .
21. (segue): recenti provvedimenti giurisdizionali italiani sul tema
La tesi qui sostenuta è affermata da un provvedimento italiano cautelare del 2019, che ha ordinato a Facebook la riattivazione di una pagina illegittimamente disattivata. La motivazione richiederebbe maggior approfondimento, per cui mi limito a riportare il passo più pertinente al discorso qui svolto : «È infatti evidente il rilievo preminente assunto dal servizio di Facebook (o di altri social network ad esso collegati) con riferimento all'attuazione di principi cardine essenziali dell'ordinamento come quello del pluralismo dei partiti politici (49 Cost.), al punto che il soggetto che non è presente su Facebook è di fatto escluso (o fortemente limitato) dal dibattito politico italiano, come testimoniato dal fatto che la quasi totalità degli esponenti politici italiani quotidianamente affida alla propria pagina Facebook i messaggi politici e la diffusione delle idee del proprio movimento. Ne deriva che il rapporto tra Facebook e l'utente che intenda registrarsi al servizio (o con l'utente già abilitato al servizio come nel caso in esame) non è assimilabile al rapporto tra due soggetti privati qualsiasi in quanto una delle parti, appunto Facebook, ricopre una speciale posizione: tale speciale posizione comporta che Facebook, nella contrattazione con gli utenti, debba strettamente attenersi al rispetto dei principi costituzionali e ordinamentali finché non si dimostri (con accertamento da compiere attraverso una fase a cognizione piena) la loro violazione da parte dell'utente. Il rispetto dei principi costituzionali e ordinamentali costituisce per il soggetto Facebook ad un tempo condizione e limite nel rapporto con gli utenti che chiedano l'accesso al proprio servizio. Conseguentemente ai principi sopra esposti, l'esclusione dei ricorrenti da Facebook si pone in contrasto con il diritto al pluralismo di cui si è detto, eliminando o fortemente comprimendo la possibilità per l'Associazione ricorrente, attiva nel panorama politico italiano dal 2009, di esprimere i propri messaggi politici» . Il successivo reclamo cautelare ha confermato la decisione, affermando sul punto specifico l'applicabilità diretta dei precetti costituzionali nella disciplina del rapporto contrattuale : «In generale si deve ritenere preclusa all'autonomia privata la limitazione a carico di uno dei contraenti dell'esercizio di diritti costituzionalmente garantiti, attuata ricollegando al loro esercizio conseguenze negative sul piano contrattuale, tanto più in assenza di una giustificazione oggettiva nella funzione riconosciuta al contratto» (§ 8) e «Al contrario se la posizione del gestore è riconducibile alla libertà di impresa tutelata dall'art. 41 della Costituzione, quella dell'utente è riconducibile, di fronte a contestazioni relative alle opinioni espresse sulla piattaforma, alla libertà di manifestazione del pensiero protetta dall'art. 21 e, di fronte a contestazioni relative alla natura ed agli scopi dell'associazione, all'art. 18 e quindi a valori che nella gerarchia costituzionale si collocano sicuramente ad un livello superiore. Si deve concludere che la disciplina contrattuale non può lecitamente assumere quale causa di risoluzione del rapporto manifestazioni del pensiero protette dall'art. 21 né consentire l'esclusione di associazioni tutelate dall'art. 18» (§ 10). Non entro nel merito dell'appropriatezza del giudizio nel caso specifico; mi limito a segnalare la regola astratta, innovativa anche se bisognosa di qualche approfondimento . In senso contrario si è osservato che affermare estesi doveri di permettere l'accesso, presupporrebbe ritenere la piattaforma "servizio pubblico", in mancanza di norma in tale senso . L'obiezione è seria, solo che l'autore mi pare non consideri a sufficienza la via dell'applicazione diretta della tutela costituzionale della libertà di espressione: in particolare della sua applicazione ad un ambiente sì privato, ma che è diventato imprescindibile per la comunicazione pubblica. Per dare attuazione a detta tutela bisogna attendere norma ad hoc oppure si può pensare ad un'applicabilità immediata? Il punto è questo, più che quello dell'applicabilità pretoria della disciplina da presunto servizio pubblico. Il problema dell'applicabilità immediata dei principi costituzionali nei rapporti privatistici patrimoniali è ampiamente trattato: la risposta da dare è in generale negativa , a meno che ricorra la lesione di diritti fondamentali .
Ad analogo esito cautelare è giunta la Corte Costituzionale tedesca sempre in una lite tra un partito di destra e Facebook, al quale ha ordinato di riattivare il profilo: anche se il provvedimento pare motivato solo quanto al periculum in mora, stimato in base ad un bilanciamento dei contrapposti pericula .
In un caso simile e di poco seguente, il Tribunale romano è invece giunto a conclusione opposta: si tratta dell'ordinanza 23.02.2020 nel caso Forza Nuova (rectius: attivisti del movimento considerati uti singuli, parrebbe) c. Facebook . Il Tribunale ha approvato la chiusura dei loro account Facebook con ordinanza ricca di documentazione probatoria e di elencazione di materiali giuridici (nazionali ed internazionali) contrastanti le discriminazioni razziali e i discorsi d'odio . In particolare ha rigettato la domanda cautelare (ex art. 700 c.p.c.) sulla base di due argomenti, autonomi -parrebbe- l'uno dall'altro: le pattuizioni contrattuali tra i ricorrenti e Facebook, da un parte , e il dovere di questa di impedire condotte illecite , dall'altra. Qui interessa il secondo argomento.
Il dovere di impedimento risulterebbe fondato sull'art. 14 della dir. 2000/31 e sull'adesione di Facebook al Codice di Condotta 2016, promosso dalla Commissione UE . Il giudice parrebbe menzionare come fonti del dovere di rimozione anche le fonti interne e sovranazionali da lui elencate (v. pagg. citate dell'ord.): ma non è chiaro quali siano né se siano solo quelle europee sul safe harbour ex dir. 2000/31 ed anche (o invece) le altre citate nella parte iniziale dell'ordinanza. In ogni caso, quest'ultima affermazione è poco precisa, dato che: - nel primo caso (normativa europea) si tratta di safe harbour e cioè di esenzione, invece che di ascrizione di responsabilità, la quale è lasciata ai diritti nazionali (come si è già osservato in questo scritto); - nel secondo caso (altre norme), non ne risultano che impongano siffatto dovere ad enti che conducano un'attività come Facebook.
Passando al codice di condotta, l'ordinanza romana Forza Nuova c. Facebook lascia intravedere una questione teorica importante, relativa alla vincolatività giuridica degli impegni assunti in quella sede dalle piattaforme. Però non motiva sul punto, mentre invece avrebbe dovuto dimostrare quantomeno che: i) tali impegni di contrasto (e nelle precise modalità discusse in causa) sono presenti nel codice di condotta; ii) il codice stesso è fonte di situazioni giuridiche a favore (o a carico) di Facebook rilevanti per l'ordinamento italiano privatistico. Circa i), va però osservato che le piattaforme si riservarono di esaminare le denuncia alla luce delle loro policies: «le aziende informatiche la esaminano [la segnalazione] alla luce delle regole e degli orientamenti da esse predisposti per la comunità degli utenti» e, solo se necessario (intenderei: da esse ritenuto tale), pure alla luce «delle leggi nazionali di recepimento della decisione quadro 2008/913/GAI, affidando l'esame a squadre specializzate». Quindi le piattaforme non riconoscono alcun dovere di agire in base ad un diritto statuale o internazionale, ma solo in base alle loro policies: il che è privo di precettività giuridica, dato che dichiarare di agire secondo le proprie policies nulla aggiunge alle policies stesse. Circa ii), non trattandosi di fonte di diritto generale, l'impegno (anche fosse valido ed efficace) sarebbe fonte di situazioni giuridiche solo pattizie (sovrapponendosi dunque all'altro argomento del giudice): sarebbero forse qualcosa tipo una promessa unilaterale del nostro codice civile, solo che non prevede alcun creditore determinato. Quindi tale ipotetico dovere, da un lato, non può essere ex lege, dato che non ricorreva alcuna fonte ad hoc; dall'altro, nemmeno pattizio, dato che non risulta individuato alcun ordinamento che riconosca vincolatività a simili impegni né alcun creditore investito della correlata situazione giuridica attiva.
Il giudice avrebbe semmai dovuto argomentare sulla base degli artt. 2043-2055 c.c. (magari specificando i profili civilistici di eventuali reati), disposizioni che invece affermano la responsabilità: certamente un soggetto può (ed ha l'onere di) fare quanto in suo potere per evitare di cadere in illeciti civili o penali o comunque di soggiacere ad altri effetti per lui sfavorevoli.
Infine nega il ripristino del profilo personale, e della pagina tematica connessa, Trib. Siena 19.01.2020, n. 2968/2019 RGAC, ord. caut., accogliendo le ragioni di Facebook . Secondo questo giudice, né risulta una violazione contrattuale, "né la società resistente [Facebook] può seriamente essere paragonata ad un soggetto pubblico nel fornire un servizio, pur di indubbia rilevanza sociale e socialmente diffuso, comunque prettamente privatistico . Nè ciò può realmente rappresentare una lesione ai diritti fondamentali e inviolabili della persona, garantiti a livello costituzionale, ovvero di autodeterminarsi (art. 2 Cost.), di poter svolgere la propria attività politica in un contesto di uguaglianza e pari opportunità con gli altri esponenti di tutte le altre fazioni (art. 3 Cost.), di ambire (anche in forma professionale e remunerata) a cariche politico istituzionali (art 4, 49 e 51 Cost.), di manifestare liberamente il proprio pensiero (art 21 Cost.). Invero, trattasi di diritti, questi, certamente liberamente esercitabili in contesti diversi, pubblici e, comunque, idonei alla più ampia espressione della propria personalità nell'ambito di una leale competizione politica con la possibilità di condividere con gli appartenenti a quella certa corrente la propria ideologia". Poi, sul periculum in mora: "al ricorrente, invero, non è precluso né potrebbe esserlo come conseguenza dell'oscuramento del proprio profilo su Facebook, di adoperare altre piattaforme per la manifestazione, certamente libera ed ampia, del proprio pensiero". Il giudice senese disconosce l'essenzialità della piattaforma Facebook, ritenendola fungibile con altre modalità di comunicazione: fungibilità, però, che ad oggi non è dato rilevare nel panorama massmediatico.
22. Ancora sulla conoscenza richiesta dall'art. 16 c.1
La legge delega aveva diviso in due ipotesi quelle poi riunite dentro lettera a) art. 16 (art. 31 c. lett. f) della legge 39 del 2002). Da questa diversità redazionale, però, non paiono discendere conseguenze, dal momento che è sufficientemente chiaro anche all'interno del d. lgs. 70/2003 che si tratta di due ipotesi.
Si potrebbe pensare ad possibile problema interpretativo intorno al concetto di "appena a conoscenza": cioè intorno al tempo concesso al provider per procedere a rimuovere disabilitare senza uscire dal ombrello protettivo. In realtà va inteso nel senso che, una volta che si provi che era a conoscenza, il tempo a sua disposizione per provvedere è solo quello tecnico per un minimo di riflessione sulla fondatezza dell'istanza e poi procedere alla disabilitazione tecnologica, che a quel punto deve essere immediata . Quindi in pratica oltre i due/tre giorni non si può andare ed anzi si deve stare entro le ventiquattro ore per i contenuti manifestly unlawful e immediatamente -e cioè di regola nei sette giorni- per gli altri nella c.d. Netzwerkdurchsetzungsgesetz tedesca 01.09.2017 (entro un'ora, secondo la bozza di regolamento UE 2018 contro la diffusione online di contenuti terroristici ). Non rilevano le dimensioni, eventualmente enormi, del provider, che non possono andare a danno dei soggetti lesi dalla sua attività di hosting provider: è suo onere attrezzarsi per provvedere in tal senso con personale dedicato . In alternativa alla soluzione unica, si potrebbe forse distinguere il modello di business, da cui segue un diverso tipo di content moderation strategies, essendone ad es. state individuate tre: Artisanal (operanti su piccola scala, come Vimeo ed altri), Community-reliant (largamente basati su collaborazione volontaria, come Wikimedia e Reddit) e Industrial (come Facebook e Google) . In pratica, per le grandi piattaforme (tipicamente Youtube ), nonostante richieste ingenti o massive di rimozione/disabilitazione come possono fare i colossi mondiali dell'entertainment, il problema non si porrà: infatti le grandi piattaforme procederanno in via automatica, magari dopo aver ricevuto le richieste in formati standardizzati predisposti ad hoc , se non addirittura via estesa a tutto il flusso transitante su di esse (il che però può dirsi costituire censura preventiva/prior restraint per l'utente uploader ).
Più significativo invece è il problema della interpretazione del concetto di «effettivamente a conoscenza» e di «essere al corrente di», presenti nella prima delle due sotto ipotesi della lettera a) e, rispettivamente, nella lettera b). Il problema attiene al dettaglio di informazione che il titolare del diritto violato deve comunicare al provider: in particolare il punto circa la necessità o meno di comunicare anche la URL del file contenente il materiale illecito. Non si sottovaluti la questione, come si potrebbe fare ritenendo che in fondo non è così oneroso per il titolare comunicare la URL del file da lui individuato. Infatti non è così oneroso, se si tratta di uno o pochi file. Quando però si tratta di violazioni massive, potrebbe essere alquanto o molto fastidioso: anche perché - in mancanza di bottoni automatici di segnalazione nel browser (tipo quelli di "aggiungi ai preferiti") e cioè se si deve fare un copia/incolla della url- basta sbagliare un carattere per non poter più accedere al file medesimo (per non dire poi della tecnica talora utilizzata di caricare i file illeciti su server via via diversi, i cui nomi o numeri IP cambiano in continuazione, c.d. siti alias).
Dalla normativa europea sembra abbastanza chiaro che non sia richiesta l'indicazione della URL . Il riferimento alla conoscenza ("essere al corrente" dell'illiceità o di fatti sintomatici in tale senso), presente nella dir., induce a ritenere sufficiente che il provider abbia quei dati che gli bastano per individuare rapidamente lui stesso il file illecito: sì che, nel caso ad esempio di riproduzioni o comunicazioni di opere dell'ingegno audiovisive, basterà il titolo dell'opera. Anzi man mano che sarà chiaro cosa permettono i filtri oggi disponibili sul mercato, la cui adozione costituisce comportamento diligente e la cui mancata adozione costituisce comportamento negligente , si potrà precisare meglio quali sono le informazioni sufficienti, affinché il provider le inserisca in questi filtri; filtri che non servono solo per prevenire futuri caricamenti ma anche per individuare i file tra quelli già caricati .
Il problema potrebbe essere processuale, nel senso che il soggetto leso o -soprattutto- il CTU possono non conoscere esattamene i software (l'algoritmo) di gestione dei file, adoperato dalla piattaforma. La sufficienza dell'informazione fornita potrebbe venir giudicata in relazione a quest'ultima, ma la segretezza del software (gelosamente custodita) non permette di dire cosa la piattaforma può realmente fare: per cui potrà ad es. indurre a ritenere insufficiente una comunicazione, che invece in quel contesto aziendale era più che sufficiente per una velocissima individuazione e rimozione/disabilitazione.
Si potrebbe allora teoricamente distinguere tra casi, in cui il soggetto leso notificasse moltissime violazioni, da quello in cui ne notificasse una sola o poche (quante però?): per poi concludere che solo nel secondo caso fosse tenuto ad indicare la URL (favor per il soggetto leso, ad es. per evitargli il rischio di errori nella comunicazione). Si potrebbe però opporre che è proprio nel primo caso che il provider deve aver più precisa informazione: proprio perché la comunicazione concerne violazioni massive, senza le URL egli dovrebbe impiegare tempo e risorse significative (favor per il provider). Quest'ultimo, però, anche senza scomodare le responsabilità aquiliane oggettive, nella composizione degli interessi confliggenti, è un'onere che dovrebbe gravare sul provider, costituendo rischio tipico di impresa da lui governabile (ad es. predisponendo formulari online, che il soggetto leso ha l'onere di compilare, i cui dati egli possa trattare in automatico).
Anzi, visto che, dopo il ricevimento della comunicazione, la responsabilità diventa contrattuale (ex lege), si tratterà di determinazione della prestazione dovuta: la quale, alla fine e per la stessa ora esposta ragione, dovrà comprendere anche il farsi carico dell'individuazione e rimozione/disabilitazione dei -per quanto numerosi- file illeciti denunciati. La quantità dei file potrà avere rilevanza nella determinazione del profilo temporale, per provvedere in tale senso: quanto più numerosi, tanto maggiore sarà il tempo di cui potrà fruire . Ma, seppur con qualche dubbio, direi che non si possa onerare il soggetto leso di individuare e comunicare l'esatta URL di ogni file illecito: è sufficiente che il provider possa con facilità individuarlo . Ciò naturalmente a meno che meno che vigano norme in senso contrario, che però nel diritto UE e nazionale mancano. Lo stesso § 512.c.3.A del 17 US Code, pur assai più dettagliato, si limita ad onerare il soggetto leso di inserire nella comunicazione la «(ii) Identification of the copyrighted work claimed to have been infringed, or, if multiple copyrighted works at a single online site are covered by a single notification, a representative list of such works at that site. (iii) Identification of the material that is claimed to be infringing or to be the subject of infringing activity and that is to be removed or access to which is to be disabled, and information reasonably sufficient to permit the service provider to locate the material..» . Il criterio di ragionevolezza nelle indicazioni per localizzare il file è utilizzabile pure da noi: discende dalla regola di buona fede o correttezza (nella fase precontrattuale o di esecuzione di contratto, a seconda di come si qualifichi la fattispecie) oppure da quella di non colpa (se si opti per la qualificazione aquiliana come concorso creditorio ex artt. 1226-2056 cc).
E se la Direttiva non richiede la indicazione della URL, c'è da pensare che un eventuale richiesta in tal senso della normativa nazionale sarebbe in contrasto con la stessa. Il fatto, però, è che nemmeno nella normativa nazionale vi sono elementi per pensare che sia necessario indicare la url. La Corte di Cassazione ha affrontato la questione nell'altra causa parallela, sempre nella vertenza RTI c. Yahoo, con la sentenza 19 marzo 2019 n. 7708 (§ 5.8). Ha concluso in una direzione simile a quanto indicato e cioè che sono i profili tecnico-informatici decisivi per stabilire, se la mera indicazione del nome della trasmissione è sufficiente oppure se serva la url del file (e ciò all'epoca dei fatti sub iudice, potendo la tecnica mutare). Secondo la S. C. si tratta di un profilo di merito che presuppone un ineludibile accertamento in fatto. Quest'ultimo punto, però, è di dubbia esattezza, poiché il giudizio di fatto riguarda la disponibilità di questo o quel dispositivo tecnico sul mercato e a quali condizioni; costituisce invece giudizio di diritto -precisamente di applicazione del canone diligenza/negligenza- accertare se il provider era tenuto meno ad adottarlo e quindi se aveva o meno l'onere di indicarlo al soggetto leso . Quanto alla necessità di indicare l'url da parte del soggetto leso (ma in verità da parte di chiunque), la giurisprudenza è divisa e diversi autori l'affermano .
Non costituisce argomento in senso contrario, alla non necessità di indicazione dell'url, il divieto di doveri di monitoraggio generale, come taluno ha addotto . Riguardo alle violazioni di copyright, ad es., l'indicazione di alcuni dati, come il nome dell'opera violata e del soggetto che risulta uploader (o del sito che ospita), dovrebbe impedire che la successiva condotta del provider rientrasse nel concetto di cui all'art. 16 d. lgs. 70/2003 .
23. Una ricostruzione della disciplina posta dall' art 16 c.1
Un a. ha proposto un articolata interpretazione del c. 1 dell'art. 16 , che, se ben comprendo, dovrebbe essere così riassumibile. La disciplina è divisa in due fattispecie principali: la prima costituita dalla lettera a) (prima parte: " a condizione che detto prestatore: a) non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita ( )") e dalla lett. b) dell'articolo 16; la seconda fattispecie, invece, costituita dall'articolo 16 lett. a) seconda parte, relativa al risarcimento ("a condizione che detto prestatore: a) ( ) per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione"). Nel primo caso si disciplinano i rimedi non risarcitori, nel secondo quello risarcitorio. Quanto alla prima fattispecie, la condizione di conoscenza comunque acquisita (si badi: in qualunque modo acquisita) impone all'hosting provider di adottare le regole di perizia professionale e cioè adottare le misure necessarie alla cooperazione per verificare il contrasto degli illeciti commessi, come proverebbero pure il cons. 46 (sul dovere di immediata rimozione/disabilitazione appena il provider abbia consapevolezza dell'illiceità) e il cons. 48 (sulla pretendibilità di una condotta diligenza del provider) della dir. Ed allora afferma questo a.: i) se si tratta di conoscenza semplice -cioè "contezza della possibile natura illecita della comunicazione o dell'utilizzo delle informazioni memorizzate"-, l'obbligo di cooperazione si concretizza nel dovere di segnalare all'autorità giudiziaria o amministrativa l'ipotesi di illecito e offrire gli elementi utili per risalire all'identità dell'autore della violazione; ii) se invece c'è un positivo accertamento giudiziale o amministrativo, sorge per l'intermediario l'obbligo di provvedere subito a rimuovere o disabilitare: se non provvede così, è responsabile dei danni prodotti dalla protrazione della violazione per concorso di cause ex articolo 1227 comma 1 ed in via solidale ex. art. 2055. Quanto alla seconda fattispecie (rimedio risarcitorio), questa ricorre quando l'illiceità è manifesta (anziché solo presunta): anche in tale caso il provider deve adottare regole di perizia professionale, che però non si limiteranno al dovere di segnalare e cooperare: imporranno piuttosto la rimozione dei contenuti e la disabilitazione dell'accesso, altrimenti dovendosi ravvisare alla responsabilità in concorso con l'autore della violazione in misura che potrebbe essere anche paritaria. Solo così si recupera la conformità alla dir.
Sull'articolata proposta sono possibili alcune osservazioni:
i) la conoscenza dell'illiceità della prima parte dell'art. 16 c. 1 lett. a) non è meno sicura di quella della sua seconda parte, anzi forse lo è di più: "effettivamente a conoscenza del fatto che l'attività è illecita" vs. "fatti che rendano manifesta l'illiceità". Cambia invece l'oggetto della conoscenza: la prima è la conoscenza effettiva e diretta della illiceità dei file, la seconda solo induttiva (indiretta), in quanto basata su fatti che dovrebbero indurre con facilità alla stessa convinzione. Come detto sopra, la logica appare chiara: il provider perde il safe harbour se sa effettivamente della illiceità o se avrebbe dovuto saperlo in base a fatti assai probanti. Questo secondo livello di consapevolezza è abbassato rispetto al primo, forse perché per le azioni risarcitorie sono meno invasive di altre (penali, misure detentiva; o amministrative, sospensioni o chiusura di attività, etc.), per cui la composizione del conflitto di interessi si sposta a favore del soggetto leso. E' dunque antiletterale sostenere che la conoscenza della prima parte della lett.a) sia meno certa di quella della seconda parte, essendo una "contezza della possibile natura illecita della comunicazione" ovvero "mera conoscenza di una presunta attività illecita" : il dettato ("a condizione che non sia effettivamente a conoscenza"), invece, si riferisce ad una conoscenza effettiva e dunque dice l'opposto;
ii) affermare che solo nel caso del risarcimento del danno (fatti denotanti una illiceità manifesta) sia doverosa la rimozione/disabilitazione anche senza ordine dell'autorità, contrasta col dato testuale: la lett. b) infatti, fonte di tale dovere, comunque la si interpreti, è riferita ad entrambi i casi della lett. a). Quindi il giudice non può disapplicarla in uno dei due casi ed applicarla solo all'altro;
iii) inoltre è da vedere se la difformità dalla dir. (laddove si pretende l'ordine dell'autorità per la rimozione/disabilitazione: difformità innegabile), una voltata tentata inutilmente l'interpretazione ad essa conforme, si possa risolvere con disapplicazione -come se si trattasse di contrasto con norma UE direttamente applicabile- oppure se debba passare (come parrebbe) per la dichiarazione di incostituzionalità della legge delega o del decreto delegato;
iv.i) non si può limitare l'obbligo di segnalazione al caso di conoscenza minore ex lett. a), prima parte. Intanto è posto dall'art. 17, e non dall'art. 16, e l'art. 17 si applica a tutti i tipi di provider e in qualunque circostanza si vengano a trovare. iv.2) se poi lo si ricava non dall'art. 17 ma dalla diligenza/perizia professionale (cons. 48 dir.), pure questa opera non solo quando i fatti manifestamente facciano propendere per l'illiceità, ma anche quando il provider abbia comunque effettiva conoscenza dell'illiceità stessa (art. 16.1 lett. a, prima parte): e cioè pure per il caso di conoscenza semplice. In altre parole, la presunta diligenza/perizia professionale, circa il dovere di segnalazione, non permette di distinguere tra i due tipi di conoscenza emergenti dalla lett. a);
v) è assai dubbio che sia la diligenza professionale a portare all'obbligo di segnalazione all'autorità. Essa porterà semmai ad adottare congrui filtri, non alla denuncia alla autorità: quest'ultima costituisce un dovere civico, che può diventare giuridico solo se una norma espressamente lo preveda (art. 23 Cost.). Non pare avere molto a che fare con la diligenza professionale, la quale riguarda o la modalità esecutiva della prestazione (responsabilità contrattuale) o la cautela nelle proprie azioni per non procurare danni a terzi (responsabilità aquiliana).
vi) non è chiaro (almeno a me) poi il riferimento al concorso di cause ex art. 1227 c. 1, qualora non provveda tempestivamente alla rimozione/disabilitazione. Questa norma regola il concorso di condotta tra danneggiante e danneggiato, mentre qui si parla di concorso tra utente uploader e provider nella causazione del danno al soggetto leso: di quest'ultimo nel passaggio in esame non si menziona alcuna condotta concorsuale, che sarebbe invero difficilmente immaginabile.
vii) riferire il cons. 46 solo alla prima parte della lett. a) (rimedi non risarcitori), per sostenere il dovere di cooperazione con segnalazione all'autorità, come pare fare la dottrina in esame, non parrebbe giustificato per due motivi: da un lato, il cons. parla di rimozione/disabilitazione e non di cooperazione/segnalazione; dall'altro, si limita ad anticipare l'art. 16 lett.b) e dunque si applica a qualunque caso, in cui abbia notizia della illiceità, senza distinzioni qualitative all'interno di tale concetto (in particolare, senza possibilità di distinguere tra le due sottofattispecie presenti nell'art. 16 lett. a).
24. L'art. 16 c. 2
Secondo il comma 2, uguale nei due testi (nazionale ed europeo), non si applica l'esenzione se l'utente agisce sotto l'autorità o il controllo del provider. Il che non è sorprendente e non serviva norma che lo precisasse: tutto il meccanismo del safe harbour per il provider si basa sulla sua neutralità rispetto ai contenuti, per cui è ovvio che sia fruibile quando l'utente (l'uploader del materiale illecito) addirittura agisca sotto l'autorità o il controllo del prestatore. Non solo in tali casi non è dato safe harbour, ma molto probabilmente opererà la responsabilità dei padroni e committenti ex artt. 2049 cc : la quale, come noto, comporta responsabilità solidale ex art. 2055 di entrambi i titolari del rapporto collaborativo .
Andrebbe piuttosto approfondito il concetto di "autorità" e di "controllo". Il primo sembra ricorrere nei contratti tipo quello di lavoro subordinato, mentre escluderei il contratto di lavoro autonomo come l'appalto, tranne che l'appaltatore sia nudus minister. Il concetto di "controllo" è più nebuloso e quindi potenzialmente più ampio: c'è però una relazione stretta e quasi biunivoca tra i due concetti. Infatti se si ha autorità su una persona, si ha pure possibilità di controllarla: in mancanza, l'autorità sarebbe solo declamata ma inesistente nei fatti. Reciprocamente, chi controlla una persona (nel senso di potere influire unilateralmente sulle sue scelte, almeno in parte qua) può ben dirsi abbia autorità sulla stessa.
L'applicazione può presentare difficoltà. Ci si può ad es. domandare se ricorra il controllo del provider, quando questi si riservi la facoltà contrattuale verso l'utente di controllare e rimuovere il materiale caricato e di farlo a sua discrezione o magari -in maniera più ristretta- ogni volta che giunga un reclamo da parte di terzi . Ed in effetti qualche decisione lascia intravedere un ragionamento di questo tipo. La risposta non è facile: alla fine, però, come sopra accennato circa l'analoga prescrizione contenuta nel cons. 42, il concetto di controllo pare alludere ad un controllo regolarmente esercitato nei fatti e non semplicemente riservato in via pattizia. In altre parole il controllo deve essere in atto, non solo in potenza..
Si pensi al caso della fotografa statunitense, che ha spiacevolmente scoperto -in sede giudiziale- che un sito giornalistico aveva divulgato una fotografia presente nel suo account Instragram e che lo aveva fatto lecitamente (dopo aver invano tentato di essere autorizzato in via negoziale). ciò perché gli utenti di Instagram da un lato trasferiscono a questo i diritti sui materiali caricati e dall'altro l'autorizzano a darli in licenza a terzi, solo che usino la sua API-Application Programming Interface . Ebbene, questo non integra il requisito dell'autorità né del controllo da parte di Instagram: per cui, se il materiale caricato dalla fotografa fosse stato illecito, Instagram non avrebbe perso il diritto al safe harbour.
Per quanto tutti i grandi provider si riservino a questa facoltà, probabilmente poi nei fatti non controllano alcunché: a meno che ciò venga in via automatica tramite i filtri oppure dopo denuncia di illecito. Ma il concetto di controllo qui richiamato non è quello operabile tramite i filtri, bensì quello realmente praticato (e, probabilmente, da un umano, non da software), da un lato, e con vincolatività giuridica dall'altro. Autorità e/o controllo ricorrono ad es. nel caso di articoli giornalistici di un giornale cartaceo, che venga riprodotto on line dalla società editrice : si tratta infatti di responsabilità editoriale, nel qual caso appunto l'editore non può certo invocare il safe harbour (anche se mancasse normativa ad hoc). In altre parole bisogna che l'autorità o il controllo venga normalmente esercitato ed in toto, non solo circa le policy aziendali della piattaforma, in modo che la condotta possa dirsi riconducibile alla piattaforma, anziché all'utente.
Si veda quanto osserva il giudice Stanton nell'ultimo provvedimento giudiziale (del 2013) nella lite Viacom c. Google-Youtube: «The only evidence that YouTube may have steered viewers toward infringing videos is as follows: YouTube employees regularly selected clips to feature "with conspicuous positioning on its homepage" (RSUF 331), and on two occasions chose to highlight a clip-in-suit. YouTube asserts, without contradiction, that the creators of the work contained ln the first clip-in-suit, "the premiere of Amp' d Mobile's Internet show 'Lil' Bush,'" made the clip available on YouTube, and thatYouTube featured the second clip-in-suit, "a promotional video from comedy group Human Giant entitled "Illuminators!,"' on its homepage at the request of Human Giant's agent (id. 332). No reasonable jury could conclude from that evidence that YouTube participated in its users' infringing activity by exercising its editorial control over the site.Thus, during the period relevant to this litigation, the record establishes that YouTube influenced its users by exercising its right not to monitor its service for infringements, by enforcing basic rules regarding content (such as limitations on violent, sexual or hate material), by facilitating access to all user-stored material regardless (and without actual or construct knowledge) of it was infringing, and by monitoring its site for some infinging material and assist some content owners in their efforts to do the same. There is no evidence that YouTube induced its users to submit infringing videos, provided users with detailed instructions about what content to upload or edited their content, prescreened submissions for quality, steered users to infringing videos, or otherwise interacted with infringing users to a point where it might be said to participated in their infringing activity» .
Un recente provvedimento d'appello statunitense ha esaminato se il newsfeed di Facebook lo costituisca content provider ex art. § 230(f)(3) CDA, tale essendo la «entity that is responsible, in whole or in part, for the creation or development of information provided». In tale caso infatti non si applicherebbe il safe harbour del Buon Samaritano di cui alla precedente lettera (c)(1) . Secondo la Corte, Facebook non può essere ritenuto content provider e in particolare non è il developer della informazione (come invece l'allegazione attorea ): «the term "development" in Section 230(f)(3) is undefined. However, consistent with broadly construing "publisher" under Section230(c)(1), we have recognized that a defendant will not be considered to have developed third?party content unless the defendant directly and "materially" contributed to what made the content itself "unlawful.". ( ) This "material contribution" test, as the Ninth Circuit has described it, "draw[s] the line at the 'crucial distinction between, on the one hand, taking actions... to... display actionable content and, on the other hand, responsibility for what makes the displayed content [itself] illegal or actionable.'"» . Infatti gli algoritmi di Facebook sono "content neutral", dato che si limitano al matching tra utenti, prescindendo dai contenuti, i quali rimangono inalterati . Né l'esito cambia per il fatto che rendono l'informazione più visible, available and usable, costituendo ciò normale attività editoriale (che, come si è detto in nota, è il presupposto per applicare il safe harbour statunitense).
Analogamente in Daniel c. Armslist era stato chiesto di condannare Armslist.com, un sito bacheca per la compravendita di armi, perché il suo website era stato costruito per eludere la normativa vigente in materia e dunque doveva essere ritenuto corresponsabile dell'omicidio plurimo compiuto tramite armi così acquistate (presso un terzo venditore privato). La Corte Suprema del Wisconsin, però, pur dando atto che il safe harbour è opponibile solo a chi fa valere una responsabilità editoriale, interpretò la domanda giudiziale non come responsabilità da negligenza/violazione del duty of care, bensì appunto come responsabilità da "publisher o speaker" di informazioni di terzi e concesse dunque ad Armslist.com il safe harbour . Per la Corte, il sito costituiva infatti un neutral tool, suscettibile pure di usi leciti, per cui il suo titolare non può dirsi creator o developer dell'informazione illecita e dannosa (annuncio di vendita armi), per cui era causa . La sentenza è poi interessante perché chiarisce in modo deciso che il § 230 CDA, non richiedendo la buona fede, si applica a prescindere dallo stato soggettivo, per cui cade ogni possibilità di negarlo a causa del ruolo agevolativo nel compimento del reato : posizione però incompatibile con la disciplina europea, in cui l'elemento soggettivo svolge un ruolo centrale.
In un caso simile (M.L. v. Craiglist inc.), invece, l'esito è stato opposto: l'avere Craiglist, con l'architettura del suo sito web, facilitato in vario modo annunci di attività illecite da parte di terzi e ai danni di minore, lo rende content provider e dunque non legittimato al safe harbour ex § 230 CDA (tale invece non è il mero fatto della omessa rimozione, che vi rientra) .
25. L'art. 16 c. 3
Il terzo comma, quasi un copia-incolla nel paragrafo 3 della direttiva, prevede che l'autorita' possa esigere dal provider che faccia cessare o che impedisca le violazioni: si è già anticipata qualche riflessione circa l'analoga disposizione contenuta nell'art. 15 c.2. La norma nazionale aggiunge a quella europea che ciò può avvenire anche in via d'urgenza: il che è però superfluo dal momento che, se si ammette l'inibitoria concessa in via definitiva, certamente è ammissibile anche in via d'urgenza. La norma poi è probabilmente superflua anche perché non è autosufficiente, dato che richiede una norma nella sede specifica, che preveda tale potere inibitorio: anche senza la norma de qua, le norme, di cui a tali sedi specifiche, avrebbero continuato a potere operare come prima (non si sarebbe potuto infatti dedurre il contrario dall'istituzione di uno safe harbour del c. 1) . In altre parole poteva essere omessa, dato che nelle sedi specifiche già è contemplato a sufficienza il potere inibitorio e che nei casi, in cui non ci sia norma specifica (problema della inibitoria atipica), non è certo questa la norma che permette di sciogliere il dubbio in senso positivo. Sarà probabilmente stata inserita solo in ossequio al dettato europeo e per mero scrupolo.
Dal dettato si capisce che può trattarsi di una tutela in cessazione, come anche di una tutela preventiva, cioè volta a prevenire future violazioni. Qui il problema principale consiste nel capire quando l'inibitoria è troppo estesa, al punto da costituire quasi un obbligo generale di sorveglianza o di ricerca, vietato dall'articolo 17.
26. L'art. 17 c. 1: la non assoggettabilità ad obbligo generale di sorveglianza o ricerca
L'articolo 17 c. 1 è importante perché pone un principio generale: il provider delle tre tipologie indicate (che possa fruire o meno del safe harbour è irrilevante) non può essere gravato da un obbligo generale di sorveglianza delle informazioni da lui trattate e nemmeno da un obbligo generale di ricerca attiva di fatti che indichino attività illecite . Questa disposizione trova applicazione soprattutto ex post e cioè per le inibitorie che i giudici emanano dopo aver accertato la violazione. L'inibitoria di violazioni future e quindi, dal punto di vista del provider, di caricamenti o permanenze di materiali illeciti futuri, infatti, comporta l'adozione di condotte preventive, che potrebbero richiamare il concetto di sorveglianza o ricerca generale.
Teoricamente il divieto di monitoraggio generale, stando al tenore della disposizione, opera anche ex ante: esclude cioè che la diligenza (non culpa), necessaria per evitare un giudizio di inadempimento o di condotta illecita, possa consistere appunto in un simile monitoraggio. Solo che in tale caso -e limitando il discorso al hosting provider- opera il safe harbour dell'art. 16, per cui lo spazio precettivo dell'art. 17 è in tale caso assai limitato . Però non è inutile, in quanto chiarisce al di là di ogni dubbio che la conoscenza menzionata nell'art. 16 c.1 non è quella che può derivare da un monitoraggio generale: e dunque che la mancata esecuzione di questo non può essere qualificato come conoscenza presunta tale da far perdere il diritto al safe harbour.
Il concetto di sorveglianza/ricerca generale è alquanto vago e qui va criticato il legislatore europeo (meno quello italiano, il quale si sarebbe avventurato in acque perigliose se avesse scelto di precisarlo). Si può andare da un minimo ad un massimo di dovere di sorveglianza/ricerca: ad esempio può concernere qualunque violazione da qualunque fonte e di qualunque diritto oppure può limitarsi alle semplici violazione del diritto d'autore su una certa opera dell'ingegno e provenienti da una determinata fonte sostanziale o magari addirittura solamente da un certo server (numero IP). Se intesa nel senso più ampio, non ci sarà probabilmente alcuna inibitoria che la violerà: in causa il soggetto leso chiederà infatti il monitoraggio completo ma solo sui file che costituiscano violazione della propria opera portata sub iudice. Però un significato così ampio non è sensato attribuirlo alla normativa, dal momento che nessuno può pensare che gravi sul provider un dovere di vigilanza su tutto.
Il problema si porrà magari in relazione alla latitudine dell'inibitoria circa una violazione su una specifica opera dell'ingegno: è qui che ci si chiede quando ricorra l'obbligo generale di sorveglianza o ricerca. Per quanto si restringa la portata del concetto de quo, potrebbe ritenersi che non lo violasse l'inibitoria per la prevenzione della violazione di una sola opera protetta, anche se da qualunque fonte provenga: si tratterebbe infatti di applicazione della regola di liceità della sorveglianza quando ricorrono "casi specifici" (cons. 47) .
In senso contrario potrebbe però dirsi che l'obbligo generale di sorveglianza o ricerca, vietato ex art. 17 c. 1 d. lgs. 70, fosse quello emergente da una lite determinata, il che presuppone l'allegazione di una specifica (o anche più, ma determinate) violazione e cioè di diritti ben individuati: una specifica opera dell'ingegno, uno specifico diritto di marchio, uno specifico fatto diffamante o lesivo della riservatezza, causato da una specifica fonte. Un divieto generale ed astratto costituirebbe in pratica quasi norma di legge, mentre il comando giudiziale è sempre relativo ad una specifica lite. Pertanto, dovendosi riferire il divieto di obbligo generale di sorveglianza o ricerca ex art. 17 c. 1 d. lgs. 70 ad una specifica lite, potrebbe sostenersene un'interpretazione nel senso che il dovere di monitoraggio, anche se riferito ad una specifica violazione (uno specifico diritto d'autore, uno specifico fatto diffamatorio), non può riguardare tutti i file presenti e futuri sui server del provider.
27. (segue:) la sentenza Scarlet. Rilevanza dello stato della tecnologia
Questo è sostanzialmente l'esito di C.G. 24.11.2011, C-70/10, Scarlet Extend c. SABAM, secondo cui: la dir. 31/2000 oltre a dir. 2001729 e dir. 2004 /48 e a quella sulla tutela della riservatezza «ostano ad un'ingiunzione rivolta ad un fornitore di accesso ad Internet di predisporre un sistema di filtraggio: - di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare mediante programmi «peer-to-peer»; - che si applica indistintamente a tutta la sua clientela; - a titolo preventivo; - a sue spese esclusive, e - senza limiti nel tempo, idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti un'opera musicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantare diritti di proprietà intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi il diritto d'autore». Infatti una simile ingiunzione «obbligherebbe il fornitore a prestare una sorveglianza attiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti di proprietà intellettuale, costringendolo in tal modo ad effettuare una sorveglianza generalizzata, che è vietata dall'art. 15, n. 1, della direttiva 2000/31. Essa comporterebbe inoltre una grave violazione della libertà di impresa del fornitore di cui trattasi, poiché l'obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a suo carico, il che risulterebbe peraltro contrario alle condizioni stabilite dall'art. 3, n. 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose. Pertanto, siffatta ingiunzione non rispetterebbe l'esigenza di garantire un giusto equilibrio tra, da un lato, la tutela del diritto di proprietà intellettuale, di cui godono i titolari dei diritti d'autore, e, dall'altro, quella della libertà d'impresa, appannaggio di operatori come i fornitori di accesso a Internet. Gli effetti di detta ingiunzione, tra l'altro, non si limiterebbero a colpire tali fornitori, poiché il sistema di filtraggio è idoneo a ledere anche i diritti fondamentali dei clienti, ossia il loro diritto alla tutela dei dati personali e la loro libertà di ricevere o di comunicare informazioni, diritti, questi ultimi, tutelati dagli artt. 8 e 11 della Carta dei diritti fondamentali dell'Unione europea. Da un lato, l'ingiunzione implicherebbe un'analisi sistematica di tutti i contenuti, nonché la raccolta e l'identificazione degli indirizzi IP degli utenti all'origine dell'invio dei contenuti illeciti sulla rete, indirizzi che costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso i suddetti utenti. Dall'altro, rischierebbe di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed un contenuto illecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito» .
La soluzione del problema dipende prevalentemente dallo stato di avanzamento della tecnologia (il che comprende pure il profilo degli errori, inevitabili allo stato attuale, anche se non è chiaro in che misura lo siano ). La disposizione mirava infatti a non caricare di doveri eccessivi questa attività, allo stato allora nascente, ritenuta assai importante: si intuiva infatti che le attività economiche si sarebbero svolte sempre più on line. Ora il giudizio di tollerabilità del dovere di prevenzione dipende dai mezzi a disposizione: più sono disponibili ed efficaci i mezzi (filtri), più estesa può diventare l'attività di sorveglianza esigibile. Si dovrebbero dunque considerare i mezzi disponibili astrattamente e concretamente in un certo momento storico: astrattamente, nel senso di soluzioni disponibili sul mercato (non quelle ancora allo stato di ricerca o prima sperimentazione); concretamente, nel senso di pretendibili in base al loro costo rapportato alle dimensioni dell'impresa di internet providing (tale duplice articolazione costituisce il giudizio di diligenza, sia contrattuale sia -in negativo cioè come non culpa- aquiliana) . Verosimilmente questo aspetto non era presente al legislatore europeo del 2000, il quale non conosceva i filtri automatici in base a parametri impostati e continuamente modificabili. Tuttavia, da un lato, il giudizio di illiceità è spesso gravato da un'insopprimibile area di soggettività e, dall'altro, i software di filtraggio spesso sbagliano, come detto (da vedere se nel senso sia di falsi positivi che di falsi negativi). Resta fermo, però, che il giudizio sull'inammissibile genericità/ammissibile specificità del controllo pretendibile dipende largamente dalla tecnologia a disposizione .
28. Una recente opinione dell'A.G. presso la C.G. in causa c-18/18, Eva Glawischnig-Piesczek c. Facebook Ireland limited
E' stato osservato che, senza il divieto ex art. 15 dir. 2000/31 (letteralmente: se uno Stato membro potesse imporre un obbligo generale di sorveglianza) , l'host provider: 1) potrebbe perdere l'immunità di prestatore intermediario, poiché non sarebbe più neutro. Infatti non conserverebbe il suo carattere tecnico, automatico e passivo, il che implicherebbe che detto host provider sarebbe al corrente delle informazioni memorizzate ed eserciterebbe un controllo sulle medesime. 2) Inoltre, anche qualora tale rischio non esistesse, potrebbe, in linea di principio, essere ritenuto responsabile di qualsiasi attività o informazione illecita, senza che le condizioni enunciate all'articolo 14, paragrafo 1, lettere a) e b), di tale direttiva siano effettivamente soddisfatte. È vero, prosegue questa opinione, che l'articolo 14, paragrafo 1, lettera a), della direttiva 2000/31 subordina la responsabilità [rectius: l'esenzione da responsabilità] di un prestatore intermediario alla conoscenza effettiva dell'attività o dell'informazione illecita. Tuttavia, alla luce di un obbligo generale in materia di sorveglianza, si potrebbe ritenere che il carattere illecito di qualsiasi attività o informazione venisse portato "d'ufficio" a conoscenza di tale prestatore intermediario e che quest'ultimo dovrebbe procedere alla rimozione di tali informazioni o disabilitare l'accesso alle medesime, senza che esso abbia compreso il contenuto illecito. Di conseguenza, si prosegue, la logica dell'immunità relativa in materia di responsabilità per le informazioni memorizzate da un prestatore intermediario sarebbe sistematicamente sovvertita: il che arrecherebbe pregiudizio all'effetto utile dell'articolo 14, paragrafo 1, della direttiva 2000/31. In conclusione, per il «combinato disposto dell'articolo 14, paragrafo 3, e dell'articolo 15, paragrafo 1, della direttiva 2000/31 che un obbligo imposto ad un prestatore intermediario nell'ambito di un'ingiunzione non può avere come conseguenza che, rispetto alla totalità o alla quasi totalità delle informazioni memorizzate, il ruolo di tale prestatore intermediario non sia più neutro nel senso descritto al paragrafo precedente» .
Circa questa presa di posizione teorica del bravo AG Szpunar su uno dei temi più complessi della platform liability/accountability/responsibility, si possono muovere delle osservazioni . Circa 1), il ruolo neutro automatico e passivo riposa solo sul cons. 42, che cede di fronte al dettato dell'art. 14 e comunque è riferito solo ai primi due tipi di provider (art. 12-13), non all'hosting provider ex art. 14, come detto sopra. Circa sub 2) (non chiarissimo), è vero che il dovere di sorveglianza estesa sarebbe probabilmente incompatibile con l'art. 14/1 dir. (se ben capisco). Quest'ultimo vuole che non ci sia responsabilità per i contenuti caricati, fino a che il provider non sappia oppure, se sa, qualora abbia proceduto a rapida rimozione/disabilitazione. La violazione di un dovere di sorveglianza, invece, potrebbe esporlo a qualche responsabilità in uno stadio a monte e cioè anche senza e prima che egli sapesse: in questo senso una così ipotizzata norma nazionale probabilmente sarebbe incompatibile con l'art. 14/1 dir. 2000/31. Si potrebbe superare il problema, intendendo opportunamente l'ipotizzato dovere di sorveglianza generale e cioè secondo la diligenza esigibile da operatori professionali eiusdem condicionis et professionis (come si dovrebbe in realtà fare, non potendosi immaginare posizioni di garanzia). E' dunque errato dire con l'AG che in tale ipotesi «il carattere illecito di qualsiasi attività o informazione venga [verrebbe] portato d'ufficio a conoscenza di tale prestatore intermediario e che quest'ultimo dovrebbe procedere alla rimozione di tali informazioni o disabilitare l'accesso alle medesime, senza che esso abbia [avesse] compreso il contenuto illecito». Il canone di diligenza escluderebbe di certo tale scenario: non potrebbe ritenersi il provider "notiziato" per il solo dovere astratto di sorvegliare, ma semmai dopo esame delle circostanze e dopo prova che egli, tramite appositi filtri disponibili sul mercato, avrebbe potuto sapere (prova assai difficile per la segretezza che ricopre queste tecnologie). Il problema di compatibilità con l'art. 14 sarebbe altro: l'equilibrio di interessi, composto da quest'ultima norma, prevede che il provider non possa essere censurato per negligente controllo ex ante dei materiali ospitati e tocchi invece al soggetto leso segnalarglieli. In altre parole il provider può comunque stare tranquillo, fino a che non riceva una specifica segnalazione, senza preoccuparsi di setacciare le migliaia/i milioni di file ospitati: «il punto di equilibrio è stato allora rinvenuto in un sistema di controllo successivo e ad attivazione precipua da parte del soggetto titolare dei diritti d'autore ritenuti violati.» . Con questa disciplina allora contrasterebbe un ipotetico obbligo generale di sorveglianza o ricerca, sia ex ante sia dopo ingiunzione: anche in quest'ultimo caso infatti opera il divieto ex art. 15 § 1 dir. 2000/31-art.17 c. 1 d. lgs. 70/2003, come si evince dalla giurisprudenza sopra ricordata. Ne segue che queste due norme probabilmente sono a stretto rigore inutili: anche senza di esse, un obbligo generale di sorveglianza o ricerca (a livello di comando generale es astratto -legge- o specifico e concreto -inibitoria-) sarebbe comunque in contrasto con l'art. 14/1 dir. 2000/31.
Si tratta di un equilibrio come tanti altri e non è detto che rimanga a lungo così. Si v. ad es. la nuova dir. 2019/790 di riforma del copyright in cui la posizione del provider è aggravata (quasi rovesciata), dato che egli è responsabile (in proprio, pare) per violazione del diritto di comunicazione al pubblico, a meno che provi il ricorrere delle esimenti di legge . Anche se potrebbe dirsi l'opposto e cioè che, una volta accontentati i più forti economicamente tra i titolari dei diritti più spesso violati in internet (copyright), la modifica della dir. 2000/31 è diventata meno urgente .
Al momento, è probabilmente esatta la corrente opinione, secondo cui, nella scelta tra il keep up (disattendendo le ragioni del soggetto leso, quindi con possibile responsabilità verso costui) e il take down (accogliendo le ragioni medesime, quindi con possibile responsabilità verso l'utente uploader), il provider continuerà probabilmente ad optare per la seconda via, procedendo a rimozione/disabilitazione (sono stati già rilevati frequenti abusi della richiesta di take down, soprattutto nei rapporti tra imprese concorrenti ).
29. L'inibitoria. Giurisprudenza europea in tema
La giurisprudenza, europea e nazionale, è intervenuta su questi aspetti.
La premessa è che sia possibile imporre inibitorie ad intermediari, anche se questi non sono responsabili della violazione . Questo è pacificamente desumibile dagli artt. 11 dir. 48/2004 e dall'art. 8 c. 3 dir. 29, dal contenuto del tutto analogo : qui è chiara la contrapposizione tra provvedimenti contro gli autori della violazione (art- 8 c- 2) e provvedimenti contro gli intermediari utilizzati (art. 8 c. 3). Ed è chiaro pure in base alla struttura degli artt. 12-13-14 dir. 31/2000, i cui § 3 distinguono la responsabilità dalla soggezione ad inibitoria. Nel diritto interno si v. l'art. 156 c. 1 l. aut. e 163/1 l. aut. nonché art. 124 c. 1 c.p.i. (inibitoria definitiva) e art. 131 c. 1 ult. parte c.p.i.. (inibitoria cautelare). Che la soggezione all'inibitoria prescinda da un titolo di (cor-)responsabilità risarcitoria, è pacificamente accettato dalla dottrina .
Come sopra anticipato, tuttavia, quanto appena detto non vale più -o non negli stessi termini- con la dir. 790 del 2019 sulla riforma del diritto d'autore. Questa dispone d'imperio che: - da un lato «(..) il prestatore di servizi di condivisione di contenuti online effettua un atto di comunicazione al pubblico o un atto di messa a disposizione del pubblico ai fini della presente direttiva quando concede l'accesso al pubblico a opere protette dal diritto d'autore o altri materiali protetti caricati dai suoi utenti.» (art. 17/1); - dall'altro, che in tale caso non opera il safe harbour ex art. 14/1 della dir. 2000/31 (art. 17/3). Il semplice ospitare file illeciti costituisce violazione del diritto di autore: a meno che ricorrano o un titolo negoziale o un'elevata diligenza ex ante (filtraggio) o ex post (rimozione/disabilitazione) (art. 17/4) . Ma su questa importante novità e le sue implicazioni sistematiche non si può qui dire di più . Tuttavia la pressione concorrenziale -e accordi stipulati all'ombra del DMCA tra le piattaforme e le major dell'industria culturale- hanno fatto si che anche negli USA, pur mancando ad oggi nel DMCA del 1998 una disciplina restrittiva come il cit. art. 17 dir. 2019/790, le piattaforme adottassero ugualmente filtri automatici: le grosse imprese titolari di copyright, infatti, sostenevano che non provvedere in tale senso sarebbe stato qualificabile come trarre beneficio dalle (ed anzi agevolare le) violazioni .
Torniamo ora alla giurisprudenza sul punto.
la Corte di Giustizia 12 luglio 2011, L'Oreal c. eBay, non è particolarmente interessante, anche se spesso citata. Al § 142 dice che si può ingiungere al gestore di un mercato online di adottare misure che consentono di agevolare l'identificazione dei suoi clienti venditori e non può essere opposta la privacy: «a tal proposito, come ha giustamente esposto la L'Oréal nelle sue osservazioni scritte e come risulta dall'art. 6 della direttiva 2000/31, se è certamente necessario rispettare la protezione dei dati personali, resta pur sempre il fatto che, quando agisce nel commercio e non nella vita privata, l'autore della violazione deve essere chiaramente identificabile» . Successivamente chiarisce l'ovvio e cioè che, secondo l'articolo 11, 3° per., direttiva 48/2004, si può ingiungere al mercato online eBay non solo di far cessare le violazioni, ma anche di prevenire nuove violazioni della stessa natura (§ 144) .
Ad onore del vero, curiosamente l'articolo 11, terzo per., dir. 48 non specifica il contenuto dell'ingiunzione verso gli intermediari: ma questo è superabile, dato che andrà interpretato come nel primo periodo nell'articolo, laddove la riferisce all'autore della violazione e dunque un ordine di cessazione del proseguimento della violazione. Inoltre in questa prima parte dell'art. 11 l'ingiunzione è solamente di cessazione e non menziona l'astensione da condotte future. In questo senso allora può ravvisarsi uno spunto interpretativo utile nella menzionata sentenza della Corte di Giustizia, anche se la cosa non era dubbia: l'inibitoria de futuro è espressamente menzionata nell'art. 18 § 1 dir. 31/2000 e nel c. 3 degli artt. 12-13-14 della stessa , oltre che -ma questo ha scarso valore ermeneutico- dal cons. 24 della dir. 2004/48 . Del resto non si può pensare che la Direttiva del 2004 le abbia abrogate, essendo disposizioni espressamente fatte salve dall'art. 2 §§ 2-3 dir. 48/04-; né si vedono ragioni per una portata dell'inibitoria nella proprietà intellettuale più ristretta di quella propria della inibitoria nell'illecito civile comune (cioè che preveda solo la cessazione e non la prevenzione). La dottrina concorda nell'ammettere la generalità dell'inibitoria preventiva verso gli intermediari .
Ci sono poi due sentenze nel biennio 2011-2012 con medesimo relatore, medesimo A.G. e medesimo attore originario (SABAM, collecting del Belgio), che son di qualche interesse.
Nella prima (Scarlet Extended c. SABAM) l'azione è proposta contro un fornitore di accesso tramite il quale venivano scambiati file illeciti per mezzo di un software peer to peer. Nella seconda (Sabam c. Netlog) l'azione è proposta contro una piattaforma belga di social network (poi chiuso), tramite la quale pure venivano scambiati file illeciti, rappresentanti opere del repertorio attoreo . Le domande pregiudiziali sono simili e consistono nel capire se l'inibitoria può consistere in un sistema di filtraggio preventivo su tutti i file transitati o memorizzati dai due provider e per tutti i clienti, senza limiti di tempo e a spese del provider.. La risposta della C.G. è che il diritto europeo osta ad una simile ingiunzione . Infatti «una simile ingiunzione obbligherebbe il suddetto prestatore a procedere ad una sorveglianza attiva della quasi totalità dei dati relativi a ciascuno degli utenti dei suoi servizi, onde prevenire qualsiasi futura violazione di diritti di proprietà intellettuale, imponendogli in tal modo una sorveglianza generalizzata vietata dall'articolo 15, paragrafo 1, della direttiva 2000/31. Essa causerebbe, peraltro, una grave violazione della libertà di impresa del prestatore di servizi di hosting, poiché l'obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a sue spese, il che risulterebbe peraltro contrario alle condizioni stabilite dall'articolo 3, paragrafo 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose. Pertanto, un'ingiunzione siffatta non rispetterebbe l'esigenza di garantire un giusto equilibrio tra, da un lato, la tutela del diritto di proprietà intellettuale, di cui godono i titolari di diritti d'autore, e, dall'altro, quella della libertà d'impresa, di cui beneficiano operatori quali i prestatori di servizi di hosting. Gli effetti di una simile ingiunzione non si limiterebbero, del resto, al prestatore di servizi di hosting, poiché il sistema di filtraggio è idoneo a ledere anche i diritti fondamentali degli utenti dei medesimi, ossia il loro diritto alla tutela dei dati personali e la loro libertà di ricevere o di comunicare informazioni, diritti, questi ultimi, tutelati dagli articoli 8 e 11 della Carta dei diritti fondamentali dell'Unione europea. Da un lato, l'ingiunzione implicherebbe l'identificazione, l'analisi sistematica e l'elaborazione delle informazioni relative ai profili creati sulla rete sociale dagli utenti della medesima, informazioni, queste, che costituiscono dati personali protetti, in quanto consentono, in linea di principio, di identificare i suddetti utenti. Dall'altro, essa rischierebbe di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto illecito ed un contenuto lecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito» .
In sintesi, bilanciando gli interessi coinvolti (diritto violato portato in giudizio, liberta di impresa del provider, diritto dell'utente alla riservatezza, diritto dell'utente di informazione attivo e passivo ), la Corte ha sciolto il dubbio, affermando che simile comando inibitorio: i) viola il divieto di monitoraggio generale; e ii) impone misure inutilmente complesse e costose (art. 3/1 dir. 2004/48). Dal fraseggio della motivazione (prendiamo Sabam c. Netlog, C-360/10), sembrano essere invocati entrambi i motivi di incompatibilità, essendoci due esami e due conclusioni (§ 38 e § 51), anche se ne sarebbe probabilmente bastato uno solo. La C.G. non chiarisce il rapporto tra questi due limiti, gravanti sui doveri imponibili al provider: si può però dire che l'art. 3 dir. 2004/48 abbia generalizzato il criterio sottostante al divieto di monitoraggio generale ex art. 15 § 1 dir. 2000/31.
Pure interessante è la sentenza nel caso UPC Telekabel c. Constantin Film-Wega Filmproduktions del 27 marzo 2014 . Qui la questione pregiudiziale era la seguente: «Se sia compatibile con il diritto dell'Unione, in particolare con la necessità di operare un bilanciamento fra i diritti fondamentali delle parti coinvolte, vietare a un fornitore di accesso [a Internet] in modo totalmente generale (dunque senza la prescrizione di misure concrete) di consentire ai suoi abbonati l'accesso a un determinato sito Internet fintanto che in quest'ultimo siano, esclusivamente o prevalentemente, resi accessibili contenuti senza l'autorizzazione del titolare dei diritti, qualora il fornitore di accesso [a Internet] possa evitare sanzioni per la violazione di tale divieto dimostrando di avere comunque adottato tutte le misure ragionevoli » (§ 17 sub 3). E la risposta è positiva in relazione alla libertà di impresa, dato che il destinatario può scegliere le misure più adatte e comunque può sottrarsi al responsabilità dimostrando di aver adottato tutte le misure ragionevoli (§§ 51-53). Quanto alla libertà di informazione degli utenti Internet, bisogna che le norme nazionali prevedono la possibilità di ricorrere contro le misure adottate dal provider (§ 57). Per quanto riguarda il terzo interesse in conflitto (la proprietà intellettuale, cioè il diritto leso), il giudice ammette che un'inibitoria di questo tipo possa non essere risolutiva e cioè che possa far filtrare eventuali future violazioni: eventualità però non anomala, ricorda la Corte, poiché il diritto d'autore non è sempre e comunque prevalente sugli altri diritti . E' allora sufficiente che la misura adottata abbia l'effetto di impedire o rendere difficilmente realizzabili le consultazioni non autorizzate. Perché poi vi sia un giusto bilanciamento tra i vari diritti coinvolti, bisogna che la misura non privi inutilmente gli utenti di internet della possibilità di accedere in modo lecito alle informazioni disponibili: in pratica, che sia un inibitoria mirata cioè con oggetto sufficientemente preciso (§§ 61-63) .
Ancora interessante è la sentenza McFadden c. Sony, 15 settembre 2016 . Nella fattispecie un negoziante permetteva di utilizzare la propria rete WiFi a chi entrava in negozio e ciò senza protezione o controllo (password). Era capitato che un soggetto appunto nel negozio avesse scaricato materiale illecito: si tratta dunque di uno dei pochi casi giudiziari di semplice trasporto/mere conduit ex art. 12 dir. 2000/31 . Nel caso specifico, secondo il giudice a quo, le misure adottabili in concreto erano tre e cioè: i) esaminare tutte le informazioni trasmesse, ii) chiudere la connessione oppure iii) proteggere la tramite password (§ 85). È chiaro che la prima misura contrasta con il divieto di monitoraggio generale e quindi non è ammissibile. Nemmeno è ammissibile la chiusura della connessione, dal momento che compromette troppo la libertà di impresa (§§ 87-88). La Corte ritiene invece che la misura della password obbligatoria sia una misura sopportabile per l'impresa (§ 91) e nemmeno troppo restrittiva per il diritto alla libertà di informazione dei destinatari del servizio (§ 92 e 94). Tale misura è anche sufficientemente efficace , sempre che la comunicazione di password agli utenti sia preceduta dalla rivelazione della loro identità per ottenerla e quindi sempre che non possano agire in via anonima (§ 96): il che, però, obbliga il venditore o il titolare della rete locale ad annotare (magari pure a verificare) diligentemente le informazioni personali (il che costituisce trattamento di dati personali ).
30. L'inibitoria. Giurisprudenza italiana in tema
C'è pure della giurisprudenza nazionale. Alcune sentenze riprendono quanto stabilito da quelle europee circa l'inammissibilità di un dovere di sorvegliare tutti i file del provider alla ricerca delle opere appartenenti al soggetto leso: così, ad es., il già cit. Appello Milano 07.01.2015 n. 29, Yahoo c. RTI ed pure un reclamo cautelare del Trib. Torino 18.09.2015 in Delta TV c. Dailymotion .
In senso opposto v. i giudici di Torino secondo cui "L'intervento richiesto all'hosting provider, non si sostanzia affatto, come paventano i resistenti, in un vaglio preventivo su tutti i contenuti presenti o in corso di caricamento sulla sua piattaforma, finalizzato a individuare video lesivi dei diritti del ricorrente. Si tratta, invece, di un controllo successivo e mirato. Successivo, perché è stato preceduto da una denuncia in cui sono stati individuati gli specifici URL dei contenuti asseritamente lesivi. Mirato perché è diretto a impedire nuovi caricamenti di quei contenuti che erano presenti agli URL già comunicati. Non convincono le difese di YouTube e Google Inc. nella parte in cui pretendono di individuare i contenuti con gli URL; affermando di conseguenza che ogni nuovo caricamento su un URL diverso rappresenterebbe un "nuovo contenuto" (diverso da quello precedentemente rimosso). E infatti la locuzione Uniform Resource Locator (in acronimo URL), nella terminologia delle telecomunicazioni e dell'informatica è una sequenza di caratteri che identifica univocamente l'indirizzo di una risorsa in Internet, tipicamente presente su un host server, come ad esempio un documento, un'immagine, un video, rendendola accessibile ad un client che ne faccia richiesta attraverso l'utilizzo di un web browser. Dunque l'URL non è il contenuto, ma piuttosto il "luogo" dove il contenuto è reperibile. 3.6 Dal punto di vista tecnico, è pacifico che l'attuale stato della tecnologia consente di individuare, fra la sterminata mole di materiale presente su YouTube, quello corrispondente a un determinato contenuto. Questa è la descrizione del funzionamento di Content ID reperibile sul sito di Google: "Content ID è uno strumento sviluppato per consentire ai titolari di copyright di identificare e gestire facilmente il copyright dei propri contenuti su YouTube. I video caricati su YouTube vengono esaminati e confrontati con un database di file che abbiamo ricevuto dai proprietari di contenuti. Spetta al titolare del copyright decidere come procedere nel caso in cui i contenuti di un video di YouTube corrispondano a una delle sue opere. In tal caso, il video riceve una rivendicazione di Content ID". Sempre da un punto di vista tecnico, non è vero che questo filtro possa funzionare solo se i reference file vengono forniti dal titolare dei diritti che si assumono violati. L'unica cosa necessaria è che il software disponga di file di confronto, sulla cui base individuare i file simili" .
In breve, la tecnologia esistente permette filtraggi automatici, che di conseguenza non costituiscono obblighi generali di sorveglianza o ricerca.
Nello stesso senso Trib. Milano ord. 12.04.2018, Mondadori c. Fastweb, secondo cui «tenuto conto delle circostanze del caso concreto, ritiene questo tribunale che sia compatibile con il divieto dell'obbligo generale di sorveglianza, proporzionata e allo stesso tempo efficace una misura che ordini agli internet service provider di impedire l'accesso ai medesimi contenuti già accertati illeciti -perché relativi alle comunicazione al pubblico, senza autorizzazione dell'avente diritto, dei diritti esclusivi della ricorrente relativi ai Periodici» .
31. (segue:) l'ingiunzione c.d. dinamica
Altri provvedimenti nazionali riguardano la specifica questione dell'ingiunzione cosiddetta dinamica. Si tratta del problema del se si possono inibire pro futuro certe condotte anche se in modalità informaticamente diverse da quello oggetto di causa. Da qui l'aggettivo «dinamiche», dato che si mira a reprimere l'elusione del provvedimento inibitorio, variando qualche aspetto della condotta contraffattiva: in particolare modificando il server di provenienza tramite i suoi cosiddetti siti alias.
Secondo Trib. MI 12.4.18 si può ordinare ai provider di impedire l'accesso "ai medesimi contenuti già accertati illeciti", a prescindere dal nome di dominio che continua a mutare per dichiarata volontà del violatore. Un diverso comando, che circoscrivesse l'ordine ad un preciso nome di dominio, sarebbe in pratica inutiliter datum. Un ordine dunque che comprenda i siti alias è l'unico che impedisce o rende difficilmente realizzabile l'illecito, secondo lo spunto di C.G. in Telekabel. Il giudice però subordina il sorgere di questo obbligo alla segnalazione da parte del titolare, per evitare di dare contenuto troppo ampio al provvedimento, che potrebbe violare il divieto di monitoraggio generale. L'ordine è ugualmente molto ampio e comprende i contenuti presenti non solo in diversi top level domain (.it,.fr etc.), ma anche con uguale nome di secondo livello : ed anzi pure i contenuti presenti in qualsiasi sito e cioè a prescindere dalla ricorrenza di uguale o diverso nome di dominio di primo o di secondo libello . Ne segue che il soggetto inibito dovrà filtrare a trecentosessanta gradi sui propri server, avendo un solo limite: che si tratti del contenuto dichiarato illecito. Tale dovere è difficilmente compatibile con il divieto di art. 15 § 1 dir. 2000/31-art- 17 c.1 d. lgs. 70/2003.
Nello stesso senso altri due provvedimenti cautelari a cavallo tra il 2019 e il 2020, i quali ammettono l'inibitoria anche relativamente ai siti alias con mutamento non solo del top level domain (fermo il second level domain), ma anche con mutamento di quest'ultimo, «a condizione che - oltre a rimandare ai medesimi contenuti illeciti innanzi considerati - il collegamento tra i soggetti responsabili dell'attività illecita ad oggi posta in essere tramite i siti indicati sia obbiettivamente rilevabile; le parti ricorrenti comunicheranno ai resistenti tale estensione sotto la loro responsabilità allegando tutti gli elementi documentali utili ad attestare la provenienza dai medesimi soggetti» .
Proprio su questo punto diverge -andando in senso restrittivo- Tribunale Milano 4 marzo 2019 , sempre in fase cautelare. Viene infatti parzialmente disattesa l'istanza «in relazione al richiesto blocco all'accesso a tutti gli altri siti che in futuro porranno a disposizione del pubblico i medesimi contenuti (i cd. "alias"), posto che l'effettiva riconducibilità ad un unico fatto lesivo dovrebbe essere specificamente vagliata, per verificarne la reale coincidenza oggettiva e soggettiva con i comportamenti già esaminati -dunque effettivamente consistenti nell'attuazione del medesimo comportamento illecito - al di là di quelle condotte che pongono in essere minime variazioni del tutto secondarie e non autonomamente caratterizzanti: allo stato deve dunque estendersi l'inibitoria a quelle condotte che associno diverso top level domain al medesimo second level domain che consiste nell'espressione enigma IPTV, onerando parte ricorrente di comunicare alle resistenti gli eventuali nuovi indirizzi IP che consentissero il collegamento al sito web in questione, anche ove quest'ultimo sia associato a diverso top level domain ma consenta la fruizione dei medesimi contenuti».
Non è esplicitato che questo comportamento del titolare condizioni l'operatività degli ordini inibitori a carico del provider: tuttavia un'interpretazione secondo buon senso induce a ritenere ciò. Il motivo, per cui il tribunale limita l'estensione dell'inibitoria a variazioni di top level domain, è, come visto, che «l'effettiva riconducibilità ad un unico fatto lesivo deve essere specificamente vagliata» (da un giudice). Va osservato che, ferma restando l'identità del materiale caricato on line, costituisce sì nuovo fatto, ma processualmente secondario , anche il mutamento di dominio di secondo livello e non solo quello di primo livello. In fondo si tratta solo di agganciare gli stessi file e il medesimo server ospitante ad un nome di dominio diverso: è cosa diversa -per fare un paragone col mondo analogico- passare dalla pubblicazione su un periodico a quella su un periodico diverso. Questo non sembra affatto eccedere il concetto di minima variazione secondaria, entro la quale il tribunale afferma di concedere l'ingiunzione dinamica.
Allo stato e a prima vista, dunque, sembra eccessivo ravvisare ad es. una sfera di pubblico diversa e un ampliamento di potenzialità lesiva (e quindi un fatto lesivo diverso) solo per aver cambiato il nome di dominio .
Ragiona similmente un provvedimento cautelare del Tribunale di Torino nella lite Delta TV v. Dailymotion, ove pregevolmente analitica motivazione .
Secondo il comando ivi portato, la denuncia del soggetto leso con indicazione della url è necessaria solo per la prima violazione, mentre non può essere pretesa per le successive. Per queste ultime può essere dato un'inibitoria ampia, concernente il materiale illecito a prescindere dall'identità totale o parziale della url. Il medesimo contenuto su url diverse, infatti, non è un nuovo contenuto, bensì il medesimo contenuto in un luogo diverso. Del resto, con i sistemi di filtraggio automatizzati tramite opportuni parametri di ricerca, non si viola il divieto di monitoraggio generale: basta infatti impostare i parametri medesimi solamente con il materiale, anzi, meglio, con il file inizialmente accertato come illecito (il Tribunale menziona il sistema dell'impronta digitale -fingerprint- oppure il sistema del Content-ID predisposto da Yahoo, in realtà: da Google/Youtube oppure il sistema Ina Signature).
Avrebbe potuto forse essere approfondito maggiormente, data la centralità nell'iter motivatorio e seppur si trattasse di sede cautelare, l'affermazione di «unicità del contenuto» nonostante la provenienza da URL diverse . Sarebbe forse meglio parlare di «unicità del fatto dannoso», secondo il tenore dell'art. 2043, o di «unicità della violazione», secondo il tenore degli art. 156 e 158 l. aut. (e dell'art. 124 c.1 cod. propr. ind.).
La successiva sentenza di merito, che ha definito l'opposizione a precetto (notificato per inottemperanza a detta ordinanza cautelare), con un comando assai complesso (alla luce anche della complessità di quello cautelare, anche per la parziale riforma intervenuta in sede di reclamo ), ha sostanzialmente confermato la cautela già concessa, così rigettando le istanze del titolare di un ordine di ricerca di materiali già caricati se «corrispondenti» a quelli denunciati . Il motivo di questa differenza non è ben chiaro, dal momento che i filtraggi tecnicamente possibili dovrebbero funzionare allo stesso modo sia in via preventiva che in via successiva sui materiali già presenti nei server del provider.
32. Sintesi sul divieto di istituire un obbligo generale di sorveglianza o ricerca ex art. 17 c. 1. Il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland limited, C-18/18
Il contenuto del divieto di monitoraggio generale, dunque, è di difficile determinazione, stante la vaghezza delle relative disposizioni: come osservato sopra, sono possibili le opposte interpretazioni. Potrebbe avere infatti qualche ragione pure la tesi, secondo cui l'obbligo generale non viene intaccato, quando l'ordine riguarda uno specifico file o anche una specifica opera protetta, a prescindere dal server tramite il quale viene messa on-line: quindi nemmeno quando il file va intercettato su tutte le possibili fonti di provenienza. Si tratta sempre di un obbligo di ricerca specifico, che non può essere ritenuto violazione del divieto di sorveglianza e ricerca generali. L'impressione, però, è che questa interpretazione estensiva troverà peggior accoglienza di quella che può considerarsi il suo opposto (dovere di ricerca di un certo file/opera protetta su certe fonti/server). Il problema è semmai più complesso quando la violazione è ridotta e cioè nel caso di diritto d'autore comporti una riproduzione solo parziale oppure quando il diritto leso e quello all'onore e alla reputazione. In quest'ultimo caso, infatti, si pone il problema del se le condotte successive alla diffamazione iniziale costituiscano ripetizione del medesimo illecito ed anzi se costituiscono ancora illecito (e eventualmente il medesimo illecito).
Su quest'ultimo problema (che si candida ad essere uno dei più difficili da dipanare) fa un po' di luce il caso europeo Eva Glawischnig-Piesczek c. Facebook Ireland Limited, C-18/18. Secondo la C.G. sono compatibili col diritto UE le ingiunzioni ad un host provider di rimuovere le informazioni di contenuto identico (si badi: identico) a quello dell'informazione già dichiarata illecita o di bloccarne l'accesso, chiunque sia l'autore dell'uploading (cioè sia l'autore già parte del processo, sia soggetti terzi) . Ed è compatibile pure fare altrettanto (v. però la precisazione subito sotto per il profilo soggettivo) circa l'informazione di contenuto non identico, bensì solamente equivalente (si badi: equivalente, non più identico) a quello già dichiarato illecito (§ 41 ss). Circa le informazioni equivalenti, però, punctum dolens di questo tipo di liti, la Corte precisa che non può esserci un obbligo eccessivo imposto al provider: devono allora essere specificate debitamente gli elementi dell'ingiunzione, come il nome della persona interessata, le circostanze e il contenuto equivalente. Comunque «differenze nella formulazione di tale contenuto equivalente rispetto al contenuto dichiarato illecito non devono, ad ogni modo, essere tali da costringere il prestatore di servizi di hosting interessato ad effettuare una valutazione autonoma di tale contenuto» (§ 45), sicchè quest'ultimo può avvalersi di tecniche e mezzi di ricerca automatizzati (§ 46) . Ad essere precisi, però, e circa le informazioni «equivalenti», la C.G. non dice espressamente che c'è l'obbligo di filtrarle verso qualunque utente: semplicemente tace su questo profilo soggettivo , a differenza dalla presa di posizione specifica dell'AG, che ne aveva ammesso il filtraggio solo verso il medesimo utente (v. subito sotto). Viene il sospetto che nella fretta (la decisione corre infatti un po' troppo spedita) il relatore si sia dimenticato di questo profilo soggettivo, non potendosi pensare ad un consapevole silenzio su un punto così importante.
Le relative conclusioni dell'avvocato generale Szpunar erano più analitiche e in particolare differivano dalla sentenza sul punto della inibitoria di informazioni non identiche, bensì solo equivalenti. L'AG infatti aveva ritenuto ammissibili queste ultime (le "equivalenti") solo se a carico del medesimo utente già coinvolto giudiziariamente: le aveva invece ritenute non ammissibili se a carico di terzi. Qui però il motivo non è molto chiaro, poiché il dire che ciò richiederebbe la sorveglianza della totalità delle informazioni diffuse sulla piattaforma (§ 73) non sembra giustificato: l'AG pone l'accento sulla necessità di soluzioni tecnicamente sofisticate, quando si tratta di individuare informazioni equivalenti anziché quelle identiche, e sul fatto che dovrebbe esercitare una forma di censura, diventando quindi un contributo reattivo e non più solo passivo della piattaforma ( § 73). Tuttavia sono osservazioni di dubbia persuasività, dal momento che, se dette soluzioni tecnicamente sofisticate sono automatiche, non dovrebbe esserci differenza a seconda che siano calibrate su uno, due, tre o su tutti gli utenti.
Il vero problema, piuttosto, oltre a quello della individuazione della equivalenza, sarà quello di decidere (toccherà al giudice, difficilmente interverrà il legislatore) quale sia il livello di investimento tecnologico richiesto ex diligentia (oppure ex non culpa, se in via aquiliana). C'è da decidere se pretendere l'adozione dei migliori software da tutti i provider indistintamente oppure se calibrare la pretesa in base alle dimensioni (cioè essenzialmente, in base al traffico, direi) di ciascuno. Pare esatta la seconda alternativa: da un lato, perché così induce a pensare l'applicazione della diligenza o della non colpa; dall'altro perché non si può pretendere che anche i provider minori adottino i software più avanzati, pochi e costosi, pena la loro espulsione dal mercato, con la conseguenza di lasciare quest'ultimo in mano a pochi colossi mondiali tecnologici. Considerazione concorrenziale, che certo rileva in sede di interpretazione delle norme civilistiche, la quale, a parità di altri fattori, deve essere "orientata alle conseguenze" della propria applicazione . Una conferma può trovarsi nella recente modifica del copyright europeo, che, seppur in termini non chiarissimi, dovrebbe permettere la calibratura accennata .
Come già accennato sopra, le condizioni e le modalità dell'inibitoria sono regolate dal diritto nazionale, non europeo, purchè non contrastino con norme europee: e dunque, circa gli internet provider, non contrastino con la dir. 2000/31 né con la dir. 2004/48 (ed oggi nemmeno con la dir. 2019/790). Il tema della ampiezza del contenuto inibito affinchè, sufficientemente esteso da non essere aggirabile ma non troppo da essere penalizzante per la libertà di azione dell'ingiunto o da diventare una mera ripetuizione della norma di legge, è stato esaminato dalla dottrina sia industrialistica che processualistica. Il problema, naturalmente, è capire quando la condotta successiva rientri in quella già inibita (costituendo quindi violazione dell'inibitoria stessa), senza dover proporre una nuova e autonoma azione di accertamento: ma i profili sono connessi, dal momento che più ampia è l'inibitoria, più facile sarà farvi rientrare la condotta successiva. Quando invece l'inibitoria ha un contenuto assai ristretto, c'è il rischio che in pratica si limiti ad inibire solo comportamenti uguali a quelli accertati illeciti. Secondo una dottrina i limiti oggettivi del giudicato, sottostante all'inibitoria, sono rispettati se i due comportamenti messi a paragone (quello accertato illecito e il successivo) sono accomunati da identità di genere e di specie, all'interno della quale eventuali diversità fenomeniche non escludono l'operatività del provvedimento . Stante però la genericità di questo primo criterio, l'autore lo precisa affermando l'irrilevanza del fattore tempo e del fattore luogo nonché di altre modalità di compimento, che ai fini degli effetti lesivi sono equivalenti. Per certi tipi di illeciti ciò può risultare di più facile applicazione. ad es. quando si tratti di violazione di marchio o di diritto d'autore o di brevetti rispetto alle diffamazioni . In tali casi si potrà ricorrere al concetto di «nucleo della violazione concreta», elaborato dagli ambienti giuridici tedeschi e svizzeri: il quale non si allontana molto da quello appena visto di "specie e genere" ma può essere utile, perché comporta un richiamo ai criteri propri della privativa industrialistica per ravvisare o meno il ricorrere della identità di violazione. Si pone allora il problema del se questa individuazione del «nucleo della violazione» debba essere lasciato all'eventuale contestazione dell'inibito (oggi verosimilmente contestazione alla penalità di mora ex art.614 bis) o se possa ex ante essere in qualche modo precisato dal giudice. Con la conseguenza in tale caso di dover capire se la precisazione sia vincolante (se cioè, al di fuori di essa, si tratta sempre di violazione diversa da quella accertata illecita) o se possa a sua volta essere intesa con una certa larghezza o elasticità o comunque interpretata: questione che a sua volta trova risposta diversa a seconda che l'ambito, che il giudice afferma coperto dalla inibitoria, sia indicato in modo più o meno preciso e a seconda che ricorra o meno una statuizione esplicita per chiarire proprio la questione di tale vincolatività. E' stato suggerito che siano le parti (in sede di domanda) e il giudice (in sede di sentenza) a precisare le condotte, rientranti ad es. nel concetto di "ogni violazione o inosservanza successivamente contestata" di cui all'art. 124 c.2 c.p.i, nel giusto mezzo tra dettaglio e ampiezza .
La dottrina processualistica ha altresì condivisibilmente posto l'accento sulla necessità che il giudice fissi un limite temporale di operatività della misura coercitiva, non potendosi immaginare nemmeno in astratto un'astrainte perpetua. Con la conseguenza che, decorso il periodo di tempo indicato, si prenderà atto della inutilità dell'astreinte e al creditore residuerà solo la tutela risarcitoria per equivalente ed eventualmente quella in forma specifica .
33. L'art. 17 c. 2
L'articolo 17 c.2 pone due obblighi a carico del provider: 1) informare senza indugio l'Autorita', quando sia a conoscenza di presunte attività o informazioni illecite. Qui è probabile che non ci sarà molto contenzioso, dal momento che il provider, ogni volta che abbia conoscenza di ciò (in pratica, quando venga avvisato dal titolare del diritto asseritamente violato), invierà rapidamente una comunicazione alle Autorità competenti. Farà lo stesso -non è difficile ipotizzarlo- quando ne verrà a conoscenza in qualunque altro modo: non ci sono grossi interessi contrari a ciò (parrebbe). 2) obbligo di fornire a richiesta dell'autorità le informazioni in suo possesso che permettono di identificare il destinatario dei servizi suo cliente. E' stato sollevato il dubbio se da questa norma si desuma un obbligo di identificare il cliente stesso (e magari identificarlo con un certo rigore, cioè senza limitarsi a prendere per buone le dichiarazioni in sede di stipula contrattuale). La risposta è nel senso che, quantomeno in base a questa norma, non c'è obbligo in tal senso. Il dettato normativo è abbastanza chiaro nel dire che l'obbligo di comunicazione riguarda le sole informazioni, che siano in possesso del provider e cioè che siano già (attualmente) in suo possesso: dalla disposizione non si desume che gli a monte abbia specifici doveri di raccolta di questo o quel dato e/o di verificarli. In altre parole, la norma si riferisce alla comunicazione di dati identificativi, di cui sia già in possesso, secondo la sua impostazione di business, mentre non si può da essa trarre che abbia un obbligo di procurarseli .
E' stata affermata l'opposta soluzione, in base alla regola di diligenza professionale, da interpretare alla luce del precetto costituzionale di solidarietà, anche per la gravità dei danni possibili . L'argomento non persuade: ogni prestazione deve essere prevista per legge ex art. 23 Cost., dato che ad essa si contrappone la libertà dei singoli e -per l'imprenditore- la libertà di impresa. Eventuali doveri -magari astrattamente auspicabili- non possono essere tratti dalla fantasia o dalla personale visione dell'interprete, ma solo da volontà legislativa espressa: la quale è troppo evanescente nel caso dell'art. 17 del d. lgs. 70/2003 per arrivare ad una simile conclusione.
Nella pratica, alcune informazioni identificative il provider le avrà sempre , dato che avrà stipulato un contratto col proprio utente. Per cui il problema si sposta su un eventuale obbligo di verificare la veridicità dei dati stessi (che ha o che dovesse -in base alle testé respinta tesi- procurarsi): e la risposta è anche qui negativa, non potendosi trarre un obbligo di simile controllo né dall'art. 17 né dal riferimento alla diligenza del cons. 48 .
Si tratta insomma di regola pubblicistica tra provider e Autorità, nella quale non pare pertinente un richiamo alla diligenza di comportamento, che caratterizza invece i rapporti tra privati, contrattuali o aquiliani che siano. Per non dire, poi, che: i) il riferimento alla diligenza non sta nell'articolato ma solo nel cons. 47; ii) non è imposta ma è lasciata impregiudicata -cioè è dichiarata compatibile col diritto UE- qualora gli Stati intendano imporla; iii) il cons. 47 richiede che sia prevista dal diritto nazionale, il che non è avvenuto da noi.
Non pertinente, poi, è appoggiare la tesi all'inciso «che consentano l'identificazione», presente nell'art. 17 c.2 sub b) : la disposizione significa solo che, tra le informazioni in suo possesso, il provider deve comunicare tutte quelle utili per raggiungere l'identificazione. La costruzione sintattica è chiara in tale senso.
La sanzione per la violazione di tali obblighi potrà essere sia penale (favoreggiamento personale, se non concorso nel reato), sia civile (risarcimento del danno ex artt. 2043-2055 ), ricorrendone i presupposti. Se infatti tale omissione cagiona o contribuisce a cagionare danno (prova difficile), questo sarà ingiusto e del resto sussisterà almeno la colpa: sicchè la risarcibilità difficilmente potrà essere evitata .
34. L'art. 17 c. 3. Cambiamenti in vista per la disciplina del safe harbour (ed anzi, delle piattaforme in generale)?
Il c. 3 dell'art. 17 non ha una chiara portata. Afferma la responsabilità civile del provider per il "contenuto di tali servizi" (cioè quelli propri dei tre tipi di provider: artt. 14-16) in due casi: i) quando, richiesto dall'autorità, non ha agito prontamente per impedire l'accesso ai contenuti stessi; ii) quando, pur sapendo della illiceità o dannosità del contenuto da lui ospitato, non ha informato l'Autorità competente. Si tratta di due fattispecie, in cui la responsabilità è affermata in positivo, anziché in negativo (cioè disciplinandone l'esenzione), come invece avviene negli artt. 14-16. Il che conferma la difficoltà della tesi, che interpreta in positivo pure i predetti artt.14-16, come taluno pur sostiene (anche se la differenza alla fine potrebbe risultare modesta, come sopra accennato) .
Circa il caso sub i), "prontamente" vale "immediatamente", di cui all'art. 16 lett. b): non vedo differenza. Si richiede l'impedimento dell'accesso (disabilitazione o filtraggio: da vedere sotto il profilo tecnologico quali modalità esistano), ma non si dice nulla sulla rimozione: e se l'Autorità ordina quest'ultima, invece della disabilitazione? La norma pare riferire la richiesta solo alla disabilitazione all'accesso, ma non impedisce -direi- che venga chiesta invece la rimozione. In tale caso (rimozione) l'inottemperanza può generare danno ingiusto risarcibile? Direi di si. Anche se la colpa non sarebbe per "inosservanza di ordini" (art. 43 c.p.), ma per negligenza generale: dunque sarebbe da invocare ai fini della causa petendi la violazione dell'art. 2043, anziché la norma de qua .
La disposizione pare sanzionare con responsabilità civile la stessa condotta che, all'opposto e cioè in negativo, costituisce l'esenzione di cui all'art. 16 c. 1 lett. b), pur se con alcune modeste differenze. Quest'ultima disposizione: i) parla di "comunicazione", anziché di "richiesta"; ii) parla di rimozione/disabilitazione, mentre quella ora in esame, come detto, menziona solo l'impedimento dell'accesso ; iii) parla di "autorità competenti", mentre la prima di "autorità giudiziaria o amministrativa avente funzione di vigilanza"; iv) usa l'avverbio "prontamente", invece di "immediatamente". Non sorgono però particolari problemi interpretativi per le prime due differenze , dato che anche dette ipotesi, ammesso che fuoriescano dal safe harbour (art. 16), saranno governate dalla generale clausola di colpevolezza (aquiliana o contrattuale). Il che ad es. significa -circa la differenza sub i)- che, se per caso (ipotesi teorica) l'Autorità si limitasse a "comunicare l'illecito" invece che "richiedere l'impedimento dell'accesso", il provider dovrebbe probabilmente provvedere lo stesso, a pena di (perdere il safe harbour e) rispondere per negligente omissione.
In breve, la disposizione parrebbe inutile, dato che, anche senza di essa, non ci sarebbe dubbio che l'eventuale danno cagionato dall'omissione, ivi regolata , sarebbe ingiusto e cagionato con colpa: ovvero, se si opta per la qualifica contrattuale, che sarebbe stato prodotto da inadempimento consistente in condotta negligente.
Inoltre, se si concorda sul giudizio di incostituzionalità della regola (secondo cui è solo violando la comunicazione dell'Autorità che si perde il safe harbour e della -conseguente- possibilità invece di conservarlo nonostante una richiesta (o notizia) di rimozione/disabilitazione avanzata da privati, come sopra osservato circa l'art. 16 § 1 lett. b), l'incostituzionalità si estenderà probabilmente pure alla disposizione in esame. Appare incongruo, infatti, che la perdita del safe harbour venga legata alla notitia criminis anche privata, mentre il risarcimento del danno rimanga legato all'ordine dell'Autorità. Tra il primo momento (notitia criminis privata) e il secondo (comunicazione dell'Autorità), la permanenza on line dei file illeciti sarebbe giuridicamente in una terra di confine, con qualificazione giuridica spuria: priva di safe harbour (per la caduta della disposizione attuale a causa della sua incostituzionalità), ma non soggetta a risarcimento del danno. La logica di questa disciplina sfuggirebbe, non vedendosi interessi da soddisfare suo tramite: per cui non resta che concludere nel senso che anche la disposizione in esame sarebbe incostituzionale.
Il legislatore europeo, del resto, ha voluto esentare da responsabilità solo fino al momento della notizia privata, non oltre: ne segue che togliere il risarcimento del danno per il periodo successivo e sino a che qualche Autorità ordini la rimozione/disabilitazione, in pratica significherebbe spostare in avanti questo momento. In senso contrario è stato detto che la direttiva lasciava ampi margini per il recepimento, desumibili dai cons. 46 e 48 : tuttavia, da un lato, il fatto che tali "disposizioni" siano rimaste nei considerando, senza entrare nell'articolato, le rende di scarso o nullo valore precettivo e, dall'altro, sono comunque così generiche che pare difficile inferirne un riferimento alla comunicazione dell'Autorità, ma, semmai, a procedure di notice and take down finalizzate all'instaurazione di un contraddittorio tra il sedicente soggetto leso e l'uploader .
La seconda ipotesi, regolata dall'art. 17 c. 3, è quella per cui l' internet provider è civilmente responsabile del contenuto dei servizi offerti (cioè dei materiali caricati dai suoi utenti) o meglio dei danni cagionati dalla pubblicazione di detti contenuti quando, avuta conoscenza della loro illiceità o dannosità per un terzo, non abbia informato l'Autorità compente. Gli elementi costitutivi della fattispecie sono dunque:
i) che abbia conoscenza: non è richiesto alcun avviso da parte dell'Autorità e dunque basterà la notizia da chiunque proveniente o anche acquisita autonomamente, se l'interessato (il danneggiato) riesca a darne prova. Il provider non è un giudice in sede giudicante, per cui basterà una notizia, da cui una persona di media avvedutezza e preparazione culturale ricavi un giudizio di probabile illiceità o dannosità. Il dubbio, processualmente parlando, non può che giovare al provider, secondo l'ordinario riparto degli oneri probatori. Naturalmente basterà che la comunicazione arrivi al suo indirizzo, non servendo che sia letta e intellettualmente assimilata e ciò anche se si tratta di grande organizzazione: il rischio di ritardata presa di conoscenza, derivante dalle rilevanti dimensioni aziendali, va sopportato dal provider.
ii) carattere illecito o pregiudizievole del contenuto: qui la legge fa una strana distinzione tra illiceità dei contenuti e loro dannosità per un terzo, riprendendo tale quale il criterio direttivo della legge delega. La distinzione tra illiceità (violazione di diritti o situazioni giuridiche altrui) e responsabilità (quando segue un danno ingiusto) è spesso ricordata nelle trattazioni della responsabilità civile ed è probabilmente fondata (può esserci illiceità senza produzione di danno, tanto che è ammessa l'inibitoria preventiva: il tema è però complesso). Va forse intesa nel senso che la conoscenza richiesta basta che riguardi l'illiceità, non servendo che riguardi pure la dannosità per il terzo. La disposizione ricorda la norma generale, per cui nella responsabilità aquiliana vanno risarciti pure i danni non prevedibili, stante il mancato richiamo dell'art. 1225 cc da parte dell'art. 2056: infatti pare ricollegare la responsabilità per mancata comunicazione alla notizia di una qualsiasi illiceità, a prescindere dai danni che da essa prospetticamente potranno sorgere. La formulazione poco sorvegliata o comunque di dubbia consapevolezza -andrebbe verificato- non permette di insistere su questo nesso.
iii) i servizi offerti: si tratta di uno qualunque dei tre tipi di servizi indicati dagli articoli precedenti (v. c. 1): semplice trasporto; memorizzazione temporanea; memorizzazione permanente, anche se è chiaro che la pratica si appunterà soprattutto sugli ultimi due tipi ed anzi sull'ultimo tipo. Come detto sopra, il richiamo proprio ai tre tipi di provider è abbastanza chiaro. Ci si potrebbe allora chiedere cosa succederebbe se l'evoluzione della tecnica o del business enucleasse un diverso tipo (come del resto per le altre norme della dir. 31 o del d. lgs. 70/2003): ci sarebbe da ragionare su un'interpretazione analogica .
iv) non ha provveduto ad informare l'Autorità competente: non c'è un termine espresso, ma che ciò debba avvenire prontamente, una volta avutane notizia, è ovvio. Lo impone il concetto di colpa ex art. 2043 o di diligenza ex 1176 cc, se si ravvisa una responsabilità contrattuale (come sarà frequente, dato che a quel punto si tratterà di adempiere ad un obbligo di salvaguardia di una posizione soggettiva ben determinata). Cosa dovrà indicare l'informazione all'Autorità ? Dovrà indicare tutte le circostanze a conoscenza del provider, per metterla in grado di procedere con eventuali indagini (copia del file/url/nome e indirizzo dell'utente).
Questa comminazione di responsabilità civile ricorda il dovere di fornire informazioni alle Autorità, posto dal precedente art. 17 c. 2 lett. a). A differenza del rapporto tra la prima ipotesi dell'art. 17 c. 3 e l'art. 16 c. 1 lett. b), sopra ricordata (ove la prima afferma una responsabilità e la seconda una esenzione da responsabilità), nel rapporto tra le norme ora in esame (seconda ipotesi dell'art. 17 c. 3 e art. 17 c.2 sub a)) si nota che entrambe affermano doveri in positivo. In particolare, la prima (art. 17 c. 3, seconda ipotesi) sembra costituire la sanzione -in termini di responsabilità- per la violazione del dovere posto dalla seconda (art. 17 c.2 lett. a). C'è però qualche differenza:
i) nel c. 2 lett. a) la conoscenza concerne "presunte attività o informazioni illecite", mentre nel c.3 sec. ipotesi concerne "il carattere illecito o pregiudizievole del contenuto del servizio". Ebbene, quanto al grado di conoscenza, la differenza è evanescente e potrebbe mancar del tutto; quanto all'oggetto della conoscenza, nel c. 2 si parla di "attività o informazioni illecite" mentre nel c. 3 sec. ipotesi l'illiceità o dannosità è riferita ai contenuti del servizio: anche qui la differenza è tutt'altro che evidente. Potrebbe forse consistere nel fatto che la prima illiceità ha un riferimento soggettivo ("riguardanti un destinatario del servizio"), mentre la seconda ha un riferimento oggettivo ("carattere illecito del contenuto di un servizio") ovvero anche soggettivo ma dal lato passivo e cioè del soggetto leso ("carattere pregiudizievole per un terzo").
iii) nel c.2 lett. a) non c'è la cennata distinzione tra illiceità e dannosità, presente invece nel c. 3/sec. ipotesi;
iv) nel c.2 lett. a) c'è la locuzione avverbiale "senza indugio", che indica il tempo entro cui si deve informare l'Autorità, mentre questa manca nel c.3/sec. ipotesi.
Quindi per lo più i doveri emergenti (direttamente) dall'art. 17 c.2 lett.a), da un lato, e (indirettamente) dall'art. 17 c.3 seconda ipotesi, dall'altro, si assomigliano, seppur con qualche differenza testuale. Tuttavia eventuali doveri rientranti nella prima norma, che non rientrassero nella seconda, ugualmente sarebbero sanzionati, in caso di loro violazione, dagli artt. 2043 segg. oppure -se si opta per la responsabilità contrattuale- dagli artt. 1218 segg. Nella parte invece, in cui le ipotesi regolate dalle due disposizioni si soprappongono, la seconda (c. 3 sec. ipotesi) è probabilmente inutile, dato che la sanzione di responsabilità civile discende già dalla violazione della prima.
Le fattispecie, di cui al c. 3, non sono presenti nella dir. e sono state introdotte in ossequio alla legge delega (art. 31 c. 1 lett. l) della L. 39 del 2002). Per questo motivo potrebbe in prima battuta pensarsi ad un recepimento difettoso della dir. stessa, ma così non pare sia. O almeno non pare esserlo per il solo fatto di introdurre disposizioni non presenti nella dir., dato che, come noto (art. 288 c. 3 TFUE), la direttiva vincola sul risultato da raggiungere, mentre spetta agli Stati determinare la forma e i mezzi di attuazione. Il problema allora è quello di capire se (non in astratto ma in concreto) la disciplina nazionale de qua abbia questo effetto oppure possa essere incompatibile col risultato imposto dalla dir.
Come si è detto, la dir. pone solo un safe harbour, mentre questa norma dispone in positivo una responsabilità. Non parrebbero allora esserci incompatibilità, dato che il safe harbour non viene toccato nella sua disciplina emergente dalla dir.
Ci si può semmai chiedere se la norma in esame nella sua seconda ipotesi di responsabilità (art. 17 c.3 seconda ipotesi) abbia rispettata la delega, sopra cit., che affermava la responsabilità del provider, quando non avesse agito con diligenza. Infatti la delega imponeva di «prevedere che il prestatore di servizi è civilmente responsabile del contenuto di tali servizi ( ) se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha usato la dovuta diligenza» . Il d. delegato ha sostituito il riferimento all'uso della dovuta diligenza con il dovere di informare l'Autorità competente: o meglio può dirsi che l'abbia in tale senso precisato e concretizzato . Cosa in sé apprezzabile, data la genericità e superfluità del riferimento alla diligenza, che nulla avrebbe aggiunto all'art 2043 (o al 1176 cc). Ci si può però chiedere se in tal modo rispetti la delega (sempre che questa vada ritenuta da attuare, invece che espunta per interpretatio abrogans a causa della sua genericità, superfluità, mancanza di novità precettiva o simili). La risposta dovrebbe essere positiva, dato che l'informazione all'Autorità costituisce una forma di diligenza in situazioni come quelle de quibus . Il dubbio concerne il fatto che potrebbero ritenersi in tal modo escluse altre modalità di trattamento diligente dell'informazione da parte del provider, delle quali il provider potrà a questo punto disinteressarsi (l'unico suo dovere essendo quello di avvisare l'Autorità): la scelta del decreto delegato, però, non pare criticabile, rientrando nella discrezionalità propria di questa tecnica legislativa.
Concludo ricordando che la recente riforma del copyright (dir. 2019/790), quanto alla comunicazione al pubblico, comporta un significativo inasprimento del trattamento giuridico delle piattaforme. Resta da vedere se ciò costituisca spia di un trend generale in tale senso, anziché limitato al copyright e alla proprietà intellettuale . L'impressione è che questo trend sia assai probabile, magari sulla scia intellettuale di opinioni favorevoli a più ampi interventi regolatori delle piattaforme, costituendo la moderazione dei contenuti (speech laws) e il profilo antitrust due aspetti strettamente collegati: si tratta infatti di trend sostenuto da vari stakeholders (dottrina , Parlamento europeo , unioni sindacali sovranazionali , Autorità garanti della concorrenza ), anche se non manca qualche opinione contraria . Impressione desumibile, dunque, non tanto o non solo dalla disciplina di proprietà intellettuale, quanto, a monte, dal ruolo imprescindibile svolto dalle piattaforme per qualunque flusso comunicativo odierno, stante il loro enorme potere di mercato (e quindi pure di condizionamento sociale in genere). Il che, dato il numero limitatissimo di tali gatekeeper, inevitabilmente porta ad aggravare i loro doveri per la prevenzione delle violazioni: chiunque altro, infatti, ha armi spuntate allo scopo. In sintesi, soprattutto alla luce dei giudizi in tale senso della dottrina e delle ultime mosse dell'UE , sta diventando probabile un prossimo intervento regolatorio: resta però da vedere in che modo e da parte di chi, dato che, mentre gli intermediari digitali sono ubiqui, il potere normativo è invece rimasto statale (al massimo europeo) .
Scritti dell'Autore
- Di marchi deboli, marchi nulli e di segni usati in funzione non distintiva (sulla non facile collocazione normativa degli usi c.d. comparativi e/o "referenziali" del marchio altrui)
- Responsabilità di Facebook per chiusura immotivata di account con distruzione dei dati ivi presenti. Sul rapporto giuridico utente/piattaforma: tra protezione e commercializzazione dei dati personali
- La responsabilità civile degli internet service provider per i materiali caricati dagli utenti (con qualche considerazione sul ruolo di gatekeepers della comunicazione)
- Novità in tema di disciplina dei marchi: le disposizioni sostanziali del d. lgs. 15 del 20.02.2019