La tutela dei dati personali nell’ambito della rete di Internet costituisce una materia abbastanza complessa: si impone, pertanto, una sintetica ricostruzione del quadro normativo interno di riferimento.
Secondo il Codice della Privacy per “dati personali”, si intendono informazioni relative ad una persona fisica, identificata o identificabile.
Per “dati sensibili”, si intendono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché í dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Per “titolare” si intende la persona fisica o giuridica, e qualsiasi altro ente od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali.
Per “responsabile” si intende la persona fisica o giuridica e qualsiasi altro ente od organismo preposti dal titolare al trattamento dei dati personali.
Per “interessato” si intende la persona fisica, cui si riferiscono i dati personali.
Per “comunicazione”si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal titolare, dal responsabile.
Per “diffusione” si intende il dare conoscenza dei dati personali a soggetti indeterminati.
L’art. 13 Codice Privacy prevede che l ‘interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa le finalità e le modalità del trattamento dei dati personali, dei soggetti ai quali i dati personali possono essere comunicati e l’ambito di diffusione dei medesimi.
L’art. 17 prevede il trattamento, per i dati personali che possano ledere “i diritti e le libertà fondamentali” solo nel rispetto di misure ed accorgimenti a garanzia dell’interessato.
Tali misure e accorgimenti sono prescritti dal Garante in applicazione dei principi sanciti dal Codice della Privacy.
L’art. 23 dispone che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato e che tale consenso è manifestato in forma scritta in caso di dati sensibili.
Il successivo art 26, dopo avere affermato, al comma 1, che i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, prevede, al comma 5, che “i dati idonei a rivelare lo stato di salute non possono essere diffusi”.
Dall’esame complessivo delle disposizioni emerge che nessuna di esse prevede che vi sia in capo al Provider, sia esso anche un Hosting Provider, un obbligo generale di sorveglianza dei dati immessi da terzi sul sito da lui gestito.
Né sussiste in capo al Provider alcun obbligo di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi.
A tali conclusioni si giunge muovendo dall’analisi delle definizioni di “trattamento” e “titolare del trattamento” fornite dall’ art. 4 Codice Privacy.
Infatti, se non vi è dubbio che il concetto di “trattamento” sia assai ampio, perché comprensivo di ogni operazione che abbia ad oggetto dati personali, indipendentemente dai mezzi e dalle tecniche utilizzati, il concetto di “titolare” è, invece, assai più specifico, perché si incentra sull’esistenza di un potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati.
Dalla definizione legislativa si desume che titolare del trattamento non è chiunque materialmente svolga il trattamento stesso, ma solo il soggetto che possa determinarne gli scopi, i modi, i mezzi.
Tali conclusioni trovano applicazione anche con riguardo alla figura dell’Internet Hosting Provider, perché esso è definito dall’art. 16 del d.lgs. n. 70 del 2003 come colui che si limita a prestare un “servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio”.
Da tale definizione emerge che il gestore del servizio di Hosting non ha alcun controllo sui dati memorizzati, né contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione.
In altri termini, finché il dato illecito è sconosciuto al Provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso
Quando, invece, il Provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni del Codice Privacy.
Sono, dunque gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di Hosting e non i gestori che si limitano a fornire tali servizi.
L’interpretazione appena delineata risulta ulteriormente confermata dal tenore letterale del successivo art. 17 che esclude la configurabilità di un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzate e di un obbligo generale di ricercare attivamente eventuali illeciti.
Lo stesso avviene per delineare la posizione di Google Italia S.r.l.:
si tratta di mero Internet Host Provider, soggetto che si limita a fornire una piattaforma sulla quale gli utenti possono liberamente caricare i loro video del cui contenuto restano gli esclusivi responsabili.
Corte di Cassazione n. 5107/2014