L’ultimo orientamento espresso dall’Avvocato Generale della Corte di Giustizia EU nella causa avente ad oggetto la diffamazione tramite social network rappresenta una novità in materia di responsabilità degli hosting provider: se dovesse essere confermato nella sentenza, le piattaforme online si troverebbero di fatto soggette ad un obbligo generale di sorveglianza attiva in quanto tenute a rimuovere non solo i commenti diffamatori, ma anche le informazioni identiche e equivalenti.
In questa analisi ripercorriamo il quadro giuridico attuale e le principali pronunce giurisprudenziali per valutare infine i possibili impatti nel caso in cui l’orientamento dovesse essere confermato.
Il framework normativo Ue in materia di responsabilità degli hosting provider
A livello europeo, la responsabilità degli Internet Service Providers (ISP) è disciplinata nella Direttiva 2000/31 sul commercio elettronico (Direttiva E-commerce).
In particolare, l’articolo 14, comma 1 della Direttiva E-Commerce prevede che il prestatore di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio (hosting provider) non sia responsabile dei contenuti pubblicati dagli utenti qualora
- non sia effettivamente a conoscenza dell’illiceità dei contenti, o
- non appena ne venga a conoscenza, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Il terzo comma della norma fa salva la possibilità che un organo giurisdizionale o un’autorità amministrativa, in conformità agli ordinamenti giuridici degli Stati membri, esiga che l’hosting provider ponga fine ad una violazione o la impedisca. Pertanto, l’hosting provider può essere il destinatario di ingiunzioni, anche se non è esso stesso responsabile delle informazioni memorizzate sui suoi server.
Le condizioni e le modalità delle suddette ingiunzioni concernenti prestatori intermediari rientrano dunque nell’ambito di applicazione del diritto nazionale, sebbene questo debba comunque rispettare i principi sanciti dalla Direttiva E-Commerce.
Infine, l’articolo 15 della Direttiva chiarisce che i prestatori di servizi di hosting provider non sono soggetti ad un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
Proprio l’assenza di un obbligo generale di sorveglianza per gli ISP è stata al centro dei lunghi dibattiti che lo scorso 26 marzo hanno portato all’approvazione della Direttiva sul diritto d’autore nel mercato unico digitale, nota anche come “Direttiva Copyright“. Tale Direttiva si propone di adattare il quadro del diritto d’autore europeo alle ultime evoluzioni delle tecnologie digitali alla luce dei nuovi modelli di business emersi in questi ultimi anni, ridefinendo gli equilibri tra gli interessi dei titolari dei diritti e quelli delle piattaforme online e della libertà di informazione.
In particolare, il dibattuto art. 17 della Direttiva Copyright disciplina la responsabilità dei prestatori di servizi di condivisione dei contenuti, vale a dire coloro che gestiscono un servizio “il cui scopo principale o uno dei principali scopi è quello di memorizzare e dare accesso al pubblico a grandi quantità di opere protette dal diritto d’autore o altri materiali protetti caricati dai suoi utenti, che il servizio organizza e promuove a scopo di lucro”. Sebbene si tratti di una definizione molto ampia, i destinatari principali sono i giganti del web come YouTube e Facebook, il cui modello di business presuppone la condivisione di contenuti, alcuni o molti dei quali protetti dal diritto d’autore, da parte degli utenti, come dimostra anche il fatto che il legislatore europeo abbia previsto un regime di responsabilità attenuata per le start-up e per le imprese che non raggiungono un numero elevato di utenti unici.
Rispetto alla versione iniziale dell’allora art. 13 (ora divenuto 17), che prevedeva un vero e proprio obbligo di monitoraggio attivo a carico degli hosting provider, la Direttiva Copyright come approvata dal Parlamento UE ha adottato un Sistema volto ad indurre tali soggetti a negoziare licenze con i titolari dei diritti.
Infatti, l’art. 17 della Direttiva Copyright stabilisce che, in assenza di una licenza, la responsabilità può essere esclusa solo se la piattaforma dimostra di (a) aver compiuto i “massimi sforzi” per ottenere una licenza; (b) aver compiuto i “massimi sforzi” per prevenire l’upload e la condivisione dei contenuti protetti, individuati a cura dei titolari dei diritti; e in ogni caso (c) aver agito tempestivamente, su segnalazione “sufficientemente motivata dai titolari dei diritti, per disabilitare l’accesso o rimuovere dai loro siti web le opere o altri materiali oggetto di segnalazione e aver compiuto i massimi sforzi per impedirne il caricamento in futuro”.
Con la Direttiva Copyright, non viene dunque imposto agli ISP alcun obbligo di sorveglianza generale per la ricerca dei contenuti in violazione del diritto d’autore, in conformità a quanto previsto dall’art. 15 della Direttiva E-Commerce.
Orientamenti giurisprudenziali: linking e reposting
In un precedente caso di diffamazione che ha visto coinvolta Facebook, anche la giurisprudenza nazionale si è recentemente pronunciata sul regime di responsabilità dell’hosting provider. Con la sentenza 3512 del 2019, il Tribunale di Roma ha infatti condannato Facebook per denigrazione e violazione del diritto d’autore in relazione ad alcuni contenuti pubblicati sulla propria piattaforma.
La decisione prendeva le mosse dal giudizio promosso da Reti Televisive Italiane spa (Rti) e dalla cantante Valentina Ponzone contro Facebook per la creazione di un profilo sul social network che ospitava commenti diffamatori relativi alla sigla introduttiva cantata dalla Ponzone nella versione italiana della serie televisiva animata giapponese Kilari, trasmessa su Italia 1. Il profilo conteneva, inoltre, una fotografia della Ponzone vestita da Kilari e alcuni link a video presenti su YouTube e costituiti da estratti della serie animata.
La condanna deriva dalla natura palesemente denigratoria degli apprezzamenti, in alcuni casi decisamente pesanti, sulla adeguatezza professionale ed estetica della Ponzone. Il Tribunale si è, tuttavia, soffermato anche sul tema della liceità della pubblicazione di link a video ospitati altrove, e in particolare su YouTube.
Secondo il Tribunale di Roma, “la diffusione dei contenuti audiovisivi di cui Rti è titolare attraverso Facebook integra un’ipotesi di comunicazione ad un pubblico nuovo perché diverso da quello in origine autorizzato dall’attrice. Ed infatti i link pubblicati attraverso la pagina Facebook conducevano non a materiali pubblicati dalla stessa Rti attraverso la propria piattaforma telematica, bensì a materiale pubblicato attraverso un sito terzo (YouTube) non autorizzato da Rti alla diffusione dei materiali audiovisivi in questione”.
Il tribunale ha quindi recepito un orientamento della CGUE per cui la pubblicazione di link costituisce una “comunicazione al pubblico” e come tale è subordinata alla autorizzazione dei titolari dei diritti sui contenuti oggetto del collegamento.
La CGUE ha, infatti, affermato che “l’atto di collocare un collegamento ipertestuale verso un’opera illegittimamente pubblicata su Internet costituisce una «comunicazione al pubblico» ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29″ (sentenza del 26 aprile 2017 relativa al caso C-527/15) e che “la messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore deve essere qualificata come messa a disposizione di un pubblico nuovo di siffatta opera”, (sentenza del 7 agosto 2018 relativa al caso C-161/17).
Secondo il tribunale di Roma, quindi l’utilizzo di link di collegamento a portali terzi che riproducono contenuti tutelati dal diritto d’autore è lecito soltanto quando i portali a cui il link reindirizza sono riconducibili al titolare dei diritti o autorizzati da quest’ultimo. In questo caso, gli utenti dei social network possono quindi postare gli hyperlink senza dover preventivamente ottenere il consenso del titolare e non vi è alcuna violazione del copyright.
Sulla base degli stessi principi, nel recente caso Renckhoff C-161/17 la CGUE ha, inoltre, introdotto la distinzione tra linking e reposting, stabilendo che mentre il primo attraverso il link rinvia al contenuto originale o al contenuto altrimenti autorizzato dall’autore, il secondo pone l’opera al di fuori del controllo dell’autore e costituisce quindi un nuovo atto di comunicazione al pubblico, che richiede dunque l’autorizzazione del titolare.
Le conclusioni dell’Avvocato Generale nel caso Facebook: possibili impatti lato responsabilità e privacy
La più recente vicenda in materia di hosting liability su cui è stato chiamato ad esprimersi l’Avvocato Generale prende le mosse da un commento diffamatorio pubblicato su Facebook ai danni di Eva Glawischnig-Piesczek, ex deputata al Nationalrat (Camera dei rappresentanti del Parlamento austriaco), presidente del gruppo parlamentare e portavoce nazionale dei «die Grünen» («i Verdi»).
La deputata (dopo una inutile richiesta a Facebook) aveva chiesto ai giudici austriaci di emettere un’ordinanza cautelare che imponesse alla Facebook Ireland di cessare la pubblicazione e/o la diffusione di fotografie che la raffigurassero, ove accompagnate da un messaggio con cui venivano diffuse affermazioni identiche e/o «dal contenuto equivalente» a quelle che definivano parlamentare come una «brutta traditrice del popolo» e/o una «imbecille corrotta» e/o membro di un «partito di fascisti».
Con le sue questioni pregiudiziali, il giudice del rinvio ha chiesto alla Corte di Giustizia dell’Unione Europea (CGUE):
- di specificare la portata personale e sostanziale degli obblighi che possono essere imposti ad un hosting provider, senza che ciò porti ad imporre un obbligo generale in materia di sorveglianza, vietato ai sensi dell’articolo 15 della Direttiva E-Commerce e
- di dichiarare se, nell’ambito di un’ingiunzione emessa dal giudice di uno Stato membro, un hosting provider possa essere costretto a rimuovere determinati contenuti non solo per gli utenti di tale Stato membro, bensì anche a livello mondiale.
In relazione alla prima questione, l’Avvocato Generale ritiene che, in base alla sentenza L’Oréal C‑324/09, per non sfociare nell’imposizione di un obbligo generale, un obbligo di sorveglianza deve essere conforme a requisiti supplementari, ossia avere ad oggetto violazioni della stessa natura da parte dello stesso destinatario nei confronti degli stessi diritti. A tal fine, l‘obbligo dell’hosting provider dovrà essere necessariamente delimitato per quanto concerne l’oggetto e la durata della sorveglianza.
Nel caso di specie, l’Avvocato Generale rileva che per quanto riguarda le informazioni identiche a quella qualificata come illecita, esse costituiscono, a priori e di norma, ripetizioni di una violazione qualificata concretamente come illecita.
Inoltre, a suo avviso, la ricerca e l’individuazione della pubblicazione dello stesso contenuto da parte di altri utenti di una piattaforma di rete sociale è rilevabile, di norma, con l’ausilio di strumenti informatici non particolarmente sofisticati, senza che l’hosting provider sia obbligato a ricorrere ad un filtraggio attivo e non automatico della totalità delle informazioni diffuse tramite la sua piattaforma.
Quanto, invece, alle informazioni equivalenti, l’Avvocato Generale sottolinea le differenze con la giurisprudenza in materia di violazioni di proprietà intellettuale, che di regola consistono nella diffusione dello stesso contenuto di quello tutelato o, quantomeno, di un contenuto simile a quello tutelato, senza alcuna valutazione discrezionale dell’autorità giudiziaria.
Al contrario, in base al carattere personalizzato del modo di esprimere le idee, è improbabile che un atto diffamatorio riprenda i termini esatti di uno atto della stessa natura. Pertanto, in materia di diffamazione, il mero riferimento ad atti della stessa natura non potrebbe svolgere lo stesso ruolo che in materia di violazione del diritto di proprietà intellettuale.
Inoltre, a differenza delle informazioni identiche a quella qualificata come illecita, le informazioni equivalenti a quest’ultima non possono essere individuate senza che un hosting provider ricorra a soluzioni sofisticate e dunque comporterebbe un onere eccessivo a carico di quest’ultimo. Di conseguenza, non soltanto il ruolo di un prestatore che esercita una sorveglianza generale non sarebbe più neutro, nel senso che non sarebbe soltanto tecnico, automatico e passivo, ma tale prestatore, esercitando una forma di censura, diverrebbe un contributore attivo di tale piattaforma e non potrebbe più beneficiare del safe harbour previsto dalla Direttiva E-Commerce.
Pertanto, l’Avvocato Generale conclude che, in base al principio di proporzionalità, l’articolo 15 della Direttiva E-Commerce non osta a che un hosting provider sia costretto, nell’ambito di un’ingiunzione, a ricercare e ad individuare, fra tutte le informazioni diffuse dagli utenti della propria piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale ingiunzione, ma non può essere costretto a ricercare e ad individuare le informazioni equivalenti a quella qualificata come illecita fra utenti diversi da quello che l’ha divulgata.
In relazione alla seconda questione, l’Avvocato Generale osserva che il legislatore europeo non ha armonizzato le norme sostanziali in materia di pregiudizio alla vita privata e ai diritti della personalità, inclusa la diffamazione. Di conseguenza, tanto la questione degli effetti extraterritoriali di un’ingiunzione che impone un obbligo di rimozione quanto quella della portata territoriale di un simile obbligo dovrebbero essere oggetto di un’analisi effettuata alla luce non del diritto UE ma, del diritto internazionale pubblico e privato.
In conclusione, se la sentenza della Corte dovesse confermare l’interpretazione dell’Avvocato Generale, le piattaforme online si troverebbero di fatto soggette ad un obbligo generale di sorveglianza attiva, che imporrebbe agli hosting provider di ricercare e individuare le informazioni equivalenti a quella qualificata come illecita. Tale attività di monitoraggio, seppur circoscritta alle sole informazioni diffuse dall’utente che ha divulgato l’ informazione illecita, potrebbe addirittura estendendersi a livello mondiale.
Appare chiaro pertanto che i provider per conformarsi al nuovo obbligo in maniera sostenibile sarebbero costretti ad implementare soluzioni tecnologiche avanzate con il rischio di esporsi a rilevanti problematiche dal punto di vista privacy. In considerazione dei potenziali rischi per i diritti e le libertà delle persone fisiche (ad esempio in caso di discriminazione degli utenti nella fase di individuazione e rimozione dei contenuti), le norme introdotte dal GDPR sono particolarmente stringenti e richiedono l‘adozione di specifiche cautele in relazione ai sistemi decisionali automatizzati, il cui utilizzo richiederà una preventiva valutazione d’impatto non solo per assicurare una efficace sicurezza dei dati personali ma anche per fare in modo che il trattamento dei dati avvenga nel rispetto di tutti i principi applicabili in materi di protezione dei dati personali.
