Ruolo “attivo” e responsabilità del fornitore di hosting
Il Tribunale di Roma si pronuncia sulla responsabilità del fornitore di hosting: quando può beneficiare dell’esenzione da responsabilità e quando invece risponde ex art. 2043 c.c.
I cd. Internet service provider svolgono un ruolo strategico nel mercato digitale, intermediando tra chi domanda e chi offre contenuti sulla rete. Quando i contenuti caricati dagli utenti di un servizio di hosting sono illeciti, anche al fornitore di hosting stesso può essere addebitata una responsabilità da illecito civile extracontrattuale ex art. 2043 c.c. se questo ha esercitato un ruolo “attivo” ai sensi del D.Lgs. 70/2003 e della Direttiva E-Commerce.
Come distinguere quando un hosting provider ha un ruolo attivo o passivo? Come rileva una conoscenza sopravvenuta? E quali sono le implicazioni pratiche che ne derivano? Il Tribunale di Roma è tornato a pronunciarsi proprio sullo spettro dell’estensione da responsabilità con la pronuncia n. 693 del 2019.
Scopri tutte le risposte in questo approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.
Introduzione
La recente pronuncia del Tribunale di Roma, XVII Sez. Civ., del 10/01/2019 n. 693 affronta il tema della responsabilità dell’hosting provider rispetto a contenuti giudicati illeciti, caricati dai fruitori dei servizi di hosting, e fa riferimento ai ruoli “attivo” o “passivo” del fornitore di hosting.
Background information
Più in generale, con internet service provider (categoria in cui rientrano anche gli hosting provider) si intendono quegli operatori della rete che, operando nella società dell’informazione, forniscono servizi Internet quali la connessione, la trasmissione e la memorizzazione dei dati, anche mettendo a disposizione le loro apparecchiature tecniche (cioè i server) per ospitare i dati stessi. Questi ultimi transiterebbero attraverso i server messi a disposizione per erogare il servizio, che può essere di semplice accesso (access provider) ovvero di fornitura di email e di spazi Web (hosting provider). Nella sostanza, essi svolgono un ruolo di intermediario che garantisce un collegamento tra chi vuole mettere a disposizione un’informazione e gli utenti finali di tale informazione.
Di qui la necessità di comprendere quando possa essere loro addebitata una responsabilità per i contenuti illeciti caricati o per le operazioni compiute dagli utenti che si avvalgono del servizio messo a disposizione dall’internet service provider, e quando no.
Questioni principali
Per comprendere il punto, la normativa di riferimento è la Direttiva 31/2000/CE(d’ora in avanti, la “Direttiva”) sui servizi della società dell’informazione (ed in particolare sul commercio elettronico), recepita in Italia con il D.lgs 70/2003, che prevede, al ricorrere di specifici requisiti, delle esenzioni di responsabilità a favore di alcuni prestatori di servizi per gli illeciti compiuti dai fruitori dei servizi stessi.
In particolare, all’art. 16 D.lgs. 70/2003 si esclude la responsabilità del prestatore a condizione che:
- “non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
- non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.
Tuttavia, l’art. 15 Dir. 2000/31/CE esclude un obbligo di monitoraggio preventivo e generalizzato, così come (ex co. 1) “un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”, ciò in quanto si risolverebbe in un’inammissibile compressione del diritto fondamentale alla libertà di espressione e di informazione (art. 11 della Carta dei diritti fondamentali dell’UE).
Ne deriva una regola generale “base” secondo la quale gli internet service provider non sono responsabili delle informazioni trattate e delle operazioni compiute dagli utenti (destinatari) che fruiscono del servizio, salvo intervengano sul contenuto o sullo svolgimento delle stesse operazioni, assumendo un ruolo “attivo”. I Considerando 42 e 43 della Direttiva richiedono infatti un ruolo “passivo” ossia puramente tecnico e/o automatico, per beneficiare dell’esenzione di responsabilità in parola. Ne deriva che, quando il ruolo possa invece configurarsi “attivo” sarebbe inapplicabile l’art. 16 (esenzione da responsabilità) con conseguente integrazione di un illecito civile extracontrattuale ex art. 2043 c.c. comportante un obbligo risarcitorio in capo al provider.
Per comprendere quindi lo spettro dell’esenzione da responsabilità è necessario capire quando il ruolo nel fornire il servizio sia “attivo” e quando invece “passivo”. La recente sentenza ripercorre gli orientamenti nazionali e sovranazionali sul punto.
Implicazioni pratiche
Secondo la giurisprudenza nazionale l’hosting provider avrebbe un ruolo“attivo” tutte le volte in cui interviene anche solo nell’organizzazione, selezione o promozione dei materiali caricati, ottimizzandone i contenuti ovvero sfruttandoli da un punto di vista pubblicitario ed economico. Non sarebbe necessaria, per la pronuncia in parola, una manipolazione del contenuto sostanziale, tuttavia, per converso, sarebbe sufficiente prestare “un’assistenza consistente nell’ottimizzare la presentazione delle offerte in vendita e nel promuovere le stesse”.
Il ruolo “passivo” sussisterebbe invece tutte le volte in cui l’hosting provider si limiti a garantire una fornitura “neutra del servizio” mediante un trattamento meramente tecnico e passivo dei dati forniti dai clienti/utenti, potendo anche garantire una migliore fruibilità del servizio mediante espedienti tecnologici quale il fornire il semplice accesso tecnico (App. Milano 7.01.2015 Yahoo vs RTI), senza per questo discostarsi dal suo ruolo “passivo”. Non deve sussistere cioè alcun controllo sui contenuti o sull’editing atti a conferirgli conoscenza degli stessi, in quanto ciò integrerebbe il requisito sub a) dell’art. 16 menzionato e attiverebbe la sua responsabilità.
Invero, la Corte di Giustizia dell’UE ha più volte chiarito che l’avere un ruolo “attivo” non impone al provider l’obbligo generalizzato di controllo ex ante su tutti i contenuti caricati; del pari, l’avere un ruolo “passivo” non esime da responsabilità qualora, venuto a conoscenza dell’attività o dell’informazione illecita, il provider non faccia nulla per rimuoverle, posto che ciò integrerebbe il requisito sub b) dell’art. 16.
Di qui la necessità di comprendere che cosa si intenda per “conoscenza” acquisita (che fa scattare l’obbligo di attivarsi) e conseguentemente in cosa consista e quando venga a determinarsi l’obbligo di attivarsi.
Secondo la pronuncia in commento, non sarebbe necessaria una conoscenza personale e diretta del contenuto illecito ma sarebbe sufficiente che i mezzi tecnologici (es. il software di indicizzazione/catalogazione/organizzazione automatica dei contenuti, seppure in assenza di interventi fisici umani) siano idonei (anche solo potenzialmente quindi) a conferire la conoscenza ed il controllo dei dati memorizzati. In tali casi, il soggetto sarebbe considerato cosciente dei contenuti e, qualora non si attivi, risponderebbe ex art. 2043 c.c. per i danni conseguenti.
Si chiarisce tuttavia che, qualora la conoscenza non avvenga autonomamente (anche attraverso i mezzi tecnologici del provider stesso), l’obbligo di intervento potrebbe sorgerebbe ex post, a seguito di una denuncia da parte delle autorità competenti ovvero una puntuale indicazione dei contenuti da rimuovere da parte del potenziale danneggiato. Nel caso di specie è stata infatti giudicata insufficiente una generica diffida che imponeva al provider di ricercare “tutti i programmi” illecitamente caricati/diffusi in modo indiscriminato ma del pari si è chiarito che non è necessaria l’esatta indicazione degli URL di ciascun contenuto audio-visivo illecito, essendo sufficiente anche la semplice indicazione del titolo dello stesso. Il contenuto della diligenza del provider è tracciato dal considerando 48 della Direttiva, che postula la diligenza che è ragionevole attendersi dal provider e quella prevista dalla normativa nazionale, e consiste nel rimuovere i contenuti ovvero disabilitarne l’accesso prontamente.
Continue reading here.
In collaborazione con
ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.