L’Avvocato Generale della Corte di Giustizia dell’Unione Europea, Maciej Szpunar, ha espresso un parere favorevole alla conservazione dei dati personali da parte dei fornitori di connettività francesi, limitatamente a quelli relativi all’identità civile corrispondente agli indirizzi IP delle persone fisiche coinvolte in attività abusive di file-sharing e, per tale ragione, sottoposte in Francia a procedimento di verifica da parte dell’Hadopi.
La questione è complessa e delicata, e la decisione finale spetterà ora alla Corte di Giustizia dell’Unione Europea che dovrà bilanciare i diritti fondamentali dei singoli con le esigenze delle istituzioni. La decisione della Corte sarà attesa con grande interesse, considerando l’evoluzione continua della tecnologia.
ricostruiamo, quindi, i contorni della vicenda.
Tutela dei dati personali e file sharing illegale: il contenzioso all’attenzione della CGUE
Lo scorso 28 settembre, l’Avvocato Generale Maciej Szpunar, ha depositato le proprie conclusioni di fronte alla Corte di Giustizia dell’Unione Europea nella causa C-470/21 che vede contrapposte la Federazione dei fornitori di connessione a Internet, la francese “La Quadrature du Net” (assieme a tre consorelle), e il governo della Francia, rispettivamente nelle persone del Primo Ministro e del Ministro della Cultura. La domanda di pronuncia pregiudiziale è stata proposta alla CGUE dal Consiglio di Stato d’oltralpe il quale, per decidere la controversia in corso, vuole conoscere le determinazioni della Corte di Strasburgo circa la possibilità, prevista dall’art. 15, par. 1, della Direttiva 2002/58/CE relativa alla tutela dei dati personali, di limitare l’ambito di applicazione della Direttiva stessa[1], avuto riguardo agli indirizzi IP delle persone fisiche coinvolte in attività abusive di file-sharing e, per tale ragione, sottoposte in Francia a procedimento di verifica da parte dell’Hadopi[2].
La sopra citata normativa francese di contrasto al file-sharing illegale è stata preceduta nel tempo da numerosi interventi in materia di tutela dei contenuti messi a disposizione del pubblico sulle reti di comunicazione elettroniche[3], ed è stata successivamente modificata e perfezionata fino a giungersi a un testo che prevede, una volta conclusa la fase amministrativa del procedimento, l’irrogazione da parte del giudice penale di una multa agli utenti recidivi che può raggiungere i 1.500 euro oltre alla sospensione dell’accesso a Internet[4].
Il meccanismo di prevenzione delle violazioni online
Questa procedura di accertamento degli illeciti, definita quale “risposta gradata” alle violazioni massive on-line del diritto d’autore, a partire dall’anno 2022 viene esercitata dall’ARCOM, un organismo nato dalla fusione dell’Hadopi e del CSA (Conseil supérieur de l’audiovisuel), il cui compito è quello di garantire il rispetto del diritto d’autore sulla rete Internet; tale attività si esplica anche attraverso l’invio agli abbonati dei servizi di connessione alla rete delle diffide previste dalla legge[5], sulla scorta delle segnalazioni ricevute dai titolari dei diritti. Nel caso in cui tali inviti non ottengano la cessazione degli illeciti, l’ARCOM trasmette all’autorità giudiziaria la documentazione che prova la commissione del reato, per l’ulteriore corso.
Tale meccanismo di prevenzione delle violazioni on-line consiste anzitutto nel segnalare ai titolari di una connessione Internet il loro obbligo di assicurarsi che tale servizio non venga utilizzato per operare il downloading o per mettere a disposizione sulle reti di file-sharing opere protette dal diritto d’autore (articolo L. 336-3 del Codice della proprietà intellettuale francese).
Dopo che sono state inviate due diffide agli utenti con l’invito a cessare i comportamenti abusivi, l’autorità in questione (l’Hadopi e ora l’ARCOM) quando constata l’inefficacia dell’azione svolta, invia una lettera con la quale informa i titolari della connessione che sono stati da essa rilevati ulteriori atti di downloading o condivisioni di opere protette, per cui i soggetti in questione sono passibili di sanzioni penali.
A mezzo di tale comunicazione l’ARCOM invita quindi i destinatari a presentare le proprie osservazioni entro i successivi 15 giorni e ricorda loro che possono, entro lo stesso termine, chiedere di essere sentiti nel merito, avendo altresì il diritto di essere assistiti da un difensore. Esaurita questa fase, il delegato incaricato della procedura decide se trasmettere o meno il fascicolo al pubblico ministero competente per l’eventuale applicazione delle sanzioni penali previste.
La compatibilità delle norme francesi con le disposizioni della Direttiva 2002/58/CE
A questa stregua, il diritto, attribuito alla Hadopi nell’anno 2010,[6] di rivolgersi ai fornitori dei servizi di accesso alla rete telematica per ottenere da essi i dati personali degli utenti coinvolti nelle violazioni on-line è l’oggetto precipuo della causa di cui ci occupiamo, che deve essere decisa dalla Corte di Giustizia dell’UE.
Il thema decidendum verte quindi sulla legittimità delle disposizioni del Decreto n. 2010-236 del 5 marzo 2010, il quale, al paragrafo I dell’art. 4, dispone che, gli agenti giurati preposti per legge e i membri della commissione per la protezione dei diritti d’autore, hanno accesso diretto ai dati personali e ad alcune informazioni sensibili relative agli utenti contravventori delle norme che vietano la condivisione abusiva di contenuti protetti, mentre al par. II rende destinatari dei dati tecnici necessari all’identificazione dell’abbonato gli operatori di comunicazione e i fornitori di servizio di accesso alle reti stesse[7].
Il quesito posto alla CGUE dal Consiglio di Stato francese si incentra quindi nell’accertamento della compatibilità di queste norme interne francesi con le disposizioni della Direttiva 2002/58/CE, in quanto esse rientrano (o meno) fra le limitazioni di cui possono avvalersi gli Stati Membri di cui all’art. 15, par. 1 della Direttiva medesima. I giudici dovranno quindi considerare se e in quale misura siano ammissibili disposizioni che consentono la conservazione da parte di un fornitore di connessione alla rete Internet dei dati relativi all’identità civile delle persone fisiche collegate a un determinato indirizzo IP, al fine di identificare i soggetti che sono sospettati di avere commesso ripetute violazioni on-line.
La posizione espressa dall’Avvocato Generale
La posizione espressa dall’Avvocato Generale nelle sue “conclusioni”, a conferma della sua precedente opinione nel merito, ribadita anche all’udienza del 15 maggio 2023, è favorevole alla conservazione dei suddetti dati personali – senza controllo preventivo da parte dell’autorità giudiziaria – da parte dei fornitori di connettività francesi, limitatamente a quelli relativi all’identità civile corrispondente agli indirizzi IP dei possibili infringers, purché raccolti allo scopo di identificare le persone sospette di avere commesso violazioni ai diritti d’autore e dei diritti connessi.
Il ragionamento seguito dal concludente per stabilire se una tale limitazione alla privacy possa essere considerata giuridicamente corretta, si fonda sulla valutazione di sussistenza nel caso di specie dei requisiti della necessaria “proporzionalità” delle misure adottate dall’Hadopi, così come definita dalla giurisprudenza della CGUE[8] e della limitata “gravità” della loro ingerenza nei diritti fondamentali della persona.[9]
Il relatore, al fine della verifica della legittimità del procedimento di “risposta graduale” oggetto del suo esame, ha preso anche in considerazione il fatto che gli indirizzi IP trattati dall’Hadopi sono in gran parte “dinamici”, cioè “corrispondono a un’identità precisa in un unico momento, il quale coincide con la messa a disposizione del contenuto in questione” (par. 51) e la circostanza che l’attività di “sorveglianza” posta in essere da Hadopi non si risolve in un monitoraggio generalizzato delle attività svolte in rete dagli utenti dei servizi di condivisione, bensì prende in esame il singolo file oggetto di segnalazione in quanto esso è contraffattivo dei diritti di proprietà intellettuale dei suoi titolari.
Parimenti – osserva l’Avvocato Generale Maciej Szpunar – l’uploading di tali contenuti in rete per la condivisione, appare a suo avviso inidoneo a rivelare dati riguardanti la vita privata di una persona, così da potersi escludere la sussistenza di un’ingerenza grave nei diritti fondamentali dell’individuo.
Il precedente del caso Mircom vs. Telenet
In questo contesto in cui viene affrontato un tema complesso ed articolato oltre che affatto peculiare, possiamo affermare che la legittimità del trattamento dei dati personali degli utenti delle reti c.d. “P2P” è già stata oggetto di disamina da parte della CGUE nella sentenza del 17 giugno 2021 resa nel caso C-597/19 (Mircom vs. Telenet), ove, oltre a ribadire che va di volta in volta verificata la sussistenza del necessario bilanciamento degli interessi protetti dalle norme in vigore, i giudici hanno evidenziato che il divieto di trattamento non può riguardare i dati personali che sono resi pubblici dalla persona interessata o che risultano necessari per la tutela delle rivendicazioni legali[10].
Da queste riflessioni consegue che se, alla stregua della decisione sopra ricordata, l’intermediario può procedere all’identificazione degli abbonati al servizio di connessione a Internet, per provvedere alla loro discovery nel corso di un processo civile ai sensi dell’art. 8 della Direttiva 2004/48/CE, non può che dedursi l’insussistenza di valide ragioni che prevengano l’Hadopi dall’acquisire i dati di cui sopra con provenienza dai service provider [11].
Il quadro di riferimento delle piattaforme di file-sharing nell’Ue
Va inoltre osservato che il quadro di riferimento riguardante le piattaforme di file-sharing nell’Unione Europea si è fortemente evoluto a seguito del varo della Direttiva EU/790/2019, che ha disciplinato in dettaglio la subjecta materia all’Art. 17 e nei Recital dal 61 al 71[12]. In particolare, il Recital n. 70, comma 2, nel fare riferimento all’istituzione di meccanismi di reclamo e di ricorso stragiudiziale “celeri ed efficaci”, chiarisce che – limitatamente a tale contesto – “la cooperazione non dovrebbe comportare l’identificazione dei singoli utenti né il trattamento dei loro dati personali, salvo [che ciò avvenga] conformemente alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio e al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio”.
Di conseguenza, sono fatte specificamente salve le attività di trattamento che riguardano i dati personali acquisiti con provenienza dai soggetti responsabili delle violazioni, in conformità ai criteri già adottati dalla CGUE nell’interpretazione delle norme sulla responsabilità dei fornitori di servizi, quelle in materia di copyright e di enforcement di questi ultimi diritti[13].
La logica che sostiene le conclusioni dell’Avvocato Generale nella causa avviata dai fornitori di servizi di connessione alla rete contro il governo francese circa i dati personali trattati in seno alla procedura Hadopi, pare essere ulteriormente rafforzata dal fatto che gli stessi mezzi di ricorso concessi agli utenti contro i provvedimenti di disabilitazione dell’accesso o di rimozione dei contenuti da quelli caricati, previsti dall’Art. 17, par. 9 della Direttiva DSM, non consentono l’anonimato delle persone fisiche che lamentino violazioni nei loro confronti da parte dei fornitori di servizi di file-sharing.
La situazione in Italia
In Italia, invero, l’art. 3 del Regolamento “All. B” alla Delibera 115/23/CONS[14] emanato ai sensi dell’art. 102-decies della Legge Autore, prevede che l’utente debba necessariamente fornire le proprie “generalità e recapiti”. Queste informazioni altro non sono che i dati personali della persona che, in ipotesi, agisca per la tutela dei propri diritti contro il fornitore dei servizi di cui esso si è avvalso. Del pari, anche rispetto al meccanismo di reclamo che deve essere posto a disposizione degli utenti dei servizi on-line di condivisione di contenuti, per il cui funzionamento l’AGCOM ha pubblicato le Linee Guida come “All. A” alla Delibera 115/23/CONS, i fornitori di connettività dovranno necessariamente disporre dell’identificazione di coloro i quali intendano impugnare eventuali provvedimenti ad essi contrari, acquisendo ovviamente anche il loro indirizzo IP.
Conclusioni
In un quadro in cui la valutazione del bilanciamento fra i diritti fondamentali dei singoli e delle stesse istituzioni deve contemperare esigenze diverse e non sempre compatibili, vedremo a breve quali saranno le determinazioni della Corte di Giustizia su un tema che si prospetta come più complicato per effetto del continuo divenire della tecnologia.
Note
[1] Si tratta della Direttiva del 12 luglio 2002, “Riguardante il trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)”. Qui il suo testo: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:02002L0058-20091219
[2] Questo il sito web dell’ente denominato “Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi)” https://www.hadopi.fr/
[3] Fra i diversi provvedimenti elaborati dal governo francese sul tema della difesa delle opere dell’ingegno on-line vi è la “Charte pour le développement de l’offre légale de musique en ligne, le respect de la propriété intellectuelle et la lutte contre la piraterie numérique” pubblicata il 1° marzo 2005 e rinvenibile nel testo successivamente reso disponibile qui: https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/054000180.pdf
[4] Ci riferiamo alla legge n. 2009-1311 del 28 ottobre 2009, relativa alla tutela penale della proprietà letteraria e artistica su Internet, denominata “Hadopi 2”.
[5] Si tratta degli articoli L. 331.-19 e L. 331-20 del Codice della proprietà intellettuale francese.
[6] La norma in questione è l’art. R.335-5 del Codice della proprietà intellettuale francese, che dispone: “Gli operatori di comunicazione sulle reti elettroniche … e i fornitori di servizi … sono tenuti a comunicare, mediante interconnessione al trattamento automatizzato dei dati personali di cui all’art. L. 331-29 o mediante un supporto di registrazione che garantisca la loro integrità e sicurezza i dati personali e le informazioni di cui al punto 2 dell’allegato al Decreto n. 2010 236 del 5 marzo 2010 relativo al trattamento automatizzato dei dati personali autorizzati dall’art. L 331-29 del CPI ….”. Qui si trova il testo in lingua francese della norma: https://www.legifrance.gouv.fr/loda/id/JORFTEXT000021923996
[7] I dati raccolti in base al decreto sopra menzionato sono i seguenti:
Dati personali e informazioni provenienti dagli organismi di difesa professionale regolarmente costituiti, dagli organismi di gestione collettiva, dal Centro nazionale della cinematografia e dell’immagine animata, nonché quelli provenienti dal procuratore della Repubblica:
Quanto ai fatti idonei a costituire una violazione dell’obbligo definito all’articolo L. 336-3 del [CPI]:
Data e ora dei fatti;
Indirizzo IP degli abbonati interessati;
Protocollo peer-to-peer utilizzato;
Pseudonimo utilizzato dall’abbonato;
Informazioni relative alle opere o agli oggetti protetti interessati dai fatti;
Nome del file come presente sulla stazione dell’abbonato (se del caso);
Fornitore di accesso ad Internet presso il quale l’accesso è stato sottoscritto o che ha fornito la risorsa tecnica IP.
(…)
2° Dati personali ed informazioni relative all’abbonato raccolte presso operatori di comunicazioni elettroniche (…) e fornitori di servizi (…):
Cognome, nomi;
Indirizzo postale e indirizzi di posta elettronica;
Recapiti telefonici;
Indirizzo dell’impianto telefonico dell’abbonato;
Fornitore di accesso ad Internet, che utilizza le risorse tecniche del fornitore di accesso menzionato al punto 1°, presso il quale l’abbonato ha sottoscritto il suo contratto; numero di pratica;
data di inizio della sospensione dell’accesso ad un servizio di comunicazione al pubblico online.
[8] Fra le molte citate in atti, si richiama la sentenza della Corte (Grande Sezione) del 5 aprile 2022 nel caso C-140/20 (domanda di pronuncia pregiudiziale proposta dal Supreme Court — Irlanda) — G.D. / The Commissioner of An Garda Síochána, Minister for Communications, Energy and Natural Resources, et al..
[9] Sul tema della gravità della lesione ai diritti della personalità il Primo Avvocato Generale richiama i principi enucleati dalla Sentenza nel caso C-207!6, (Grande Sezione) del 2 ottobre 2018, Ministerio Fiscal, sulla domanda di pronuncia pregiudiziale proposta dalla Audiencia Provincial de Tarragona.
[10] Sul punto Agenda Digitale aveva pubblicato il seguente articolo: https://www.agendadigitale.eu/mercati-digitali/copyright-la-corte-di-giustizia-fa-chiarezza-sullidentificazione-degli-autori-delle-violazioni-nel-file-sharing/
[11] E’ stato dallo scrivente in altra sede notato che “indicazioni circa la responsabilità dei prestatori di servizi ci sono pervenute dalle sentenze della Corte di Giustizia nei casi riuniti C-682/18 e C-683/18 che hanno visto come parti convenute Google – YouTube nei confronti rispettivamente di Elsevier e Cyando del 22 giugno 2021, in cui la responsabilità delle due piattaforme è stata valutata sulla base delle norme sui servizi di condivisione prima dell’entrata in vigore nell’Unione Europea delle disposizioni di cui all’art. 17 della Direttiva EU/790/2019 (Direttiva c.d. DSM – Digital Single Market).
In tali decisioni la Corte, nel ribadire la necessità che ogni caso vada esaminato e valutato singolarmente, ha inoltre elencato una serie di fattori che incidono nel valutare la responsabilità del prestatore di servizi di condivisione, includendo fra essi: la conoscibilità dal parte del gestore dell’uso fatto dagli utenti della piattaforma; la carenza dell’impiego da parte dello stesso di misure tecnologiche capaci di prevenire le violazioni, la sua eventuale partecipazione alla selezione del materiale messo a disposizione del pubblico; la fornitura di programmi disponibili sulla piattaforma che favoriscono lo scambio abusivo dei contenuti; la creazione di un “modello di business” che incoraggi gli utenti a scambiarsi contenuti protetti per il tramite del servizio di condivisione; l’uso illecito predominante della messa a disposizione del pubblico di contenuti protetti fatto dalla piattaforma”. Qui il testo dell’articolo: https://www.agendadigitale.eu/mercati-digitali/violazioni-del-diritto-dautore-la-responsabilita-degli-isp-norme-e-giurisprudenza/
[12] Qui il testo della Direttiva DSM in lingua italiana: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32019L0790
[13] L’Italia nel recepire l’Art. 17 della Direttiva DSM, al quarto comma dell’art. 102-nonies L.D.A., ha stabilito la regola secondo cui l’applicazione delle norme interne sul file-sharing non comporta l’identificazione dei singoli utenti, salva l’applicazione del Regolamento GDPR (UE/2016/679) e del Codice Privacy. La disposizione si allinea quindi alla norma comunitaria.
[14] Qui la Delibera dell’AGCOM: https://www.agcom.it/documentazione/documento?p_p_auth=fLw7zRht&p_p_id=101_INSTANCE_FnOw5lVOIXoE&p_p_lifecycle=0&p_p_col_id=column-1&p_p_col_count=1&_101_INSTANCE_FnOw5lVOIXoE_struts_action=%2Fasset_publisher%2Fview_content&_101_INSTANCE_FnOw5lVOIXoE_assetEntryId=30625304&_101_INSTANCE_FnOw5lVOIXoE_type=document