• Introduzione
Approdato nell’era del web riscrivibile, l’user creator – o, più semplicemente, l’uomo – naviga la rete per comunicare, esprimere, “condividere”: dal sito informatico statico fino all’interazione digitale, nell’era del web 2.0.
L’avvento dei social network, da ricondursi al lontano 1997, ha sicuramente ampliato (forse oltre i limiti concessi, come vedremo) il concetto di libertà di manifestazione del pensiero concedendo agli utenti di produrre conoscenza, partecipare attivamente al dibattito politico, contribuire al progresso culturale ed approfondire le tematiche dell’informazione.
In difetto di una regolamentazione specifica idonea a ricomprendere le più disparate casistiche, le infestazioni virali non hanno atteso molto a comparire nelle pagine web: dallo spamming alle fake news, il limite dell’invalicabile è spesso – più o meno consapevolmente – oltrepassato, con tutti i rischi legali che ne conseguono.
L’attività forse più banale ma che più di frequente ci vede protagonisti, esponendoci al rischio dell’illegalità, è certamente la produzione e condivisione di immagini e video sulle piattaforme della rete sociale nelle ipotesi di violazione della riservatezza altrui, che può peraltro integrare il reato di diffamazione previsto e punito all’art. 595 del codice penale.
Il problema così individuato sorge dall’upload dell’utent creator e, di conseguenza, dalla messa a disposizione dei contenuti che avviene a diversi livelli spaziali e temporali (dai post permanenti fino alle short stories, dai contenuti pubblici ai contenuti parzialmente visibili).
È estremamente recente l’introduzione nell’ordinamento nazionale del Regolamento dell’Unione Europea n. 679 del 2016 sulla protezione dei dati, la cui rilevanza emerge anzitutto dall’abrogazione e/o modifica integrale di numerose disposizioni del d. lgs. n. 196 del 2003 (cd. Codice della Privacy).
Di seguito, dunque, un breve excursus legislativo nazionale ed europeo sulle disposizioni rilevanti in materia di protezione dei dati che, con riferimento alla produzione e condivisione di immagini sul web (o instant app, che dir si voglia), conduce ad interrogarsi sul rischio di un vuoto di tutela ereditato dal decreto attuativo n. 101 del 10 agosto 2017.
• Il decreto legislativo n. 196 del 30 giugno 2003 prima dell’entrata in vigore del Regolamento dell’Unione Europea n. 679 del 2016
Celebre è – da sempre – il Codice della Privacy, ossia il Testo Unico sulla protezione dei dati personali di cui al d. lgs. n. 196 del 2003, emanato in epoca ben lontana dagli attuali approdi tecnologici del web, eppure ben concepito sia a livello strutturale che contenutistico, tanto da aver rappresentato, fino ad ora, un’irrinunciabile fonte legislativa volta alla tutela della riservatezza.
Il testo, all’art. 1 si apre riconoscendo il diritto di ciascuno alla protezione dei dati personali che lo riguardano e, come specificato al successivo art. 2, garantisce il rispetto dei diritti e delle libertà fondamentali nel trattamento dei dati personali, con particolare riferimento, appunto, alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali.
Nemmeno è sfuggita, al legislatore del 2003, la definizione chiara ed immediata di “dato personale”, riportata all’art. 4, lettera b) ed individuata in “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Fra i dati personali il Codice della Privacy include e specifica i dati sensibili, ossia i dati personali qualificati in quanto “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (art. 4, lett. d).
In moltissime circostanze della vita quotidiana offriamo i nostri dati personali alla mercé altrui e, spesso, ci si trova ad apporre la firma in calce alla cosiddetta informativa sulla privacy, seza nemmeno comprendan le ragioni e le conseguenze di una tale sottoscrizione. L’art. 13 del Codice della Privacy, che prevede appunto l’onere di informativa a carico del titolare del trattamento dei dati personali (ovvero colui che li raccoglie e li utilizza), stabilisce invero che “L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto” in relazione alle finalità e modalità del trattamento, alla natura obbligatoria o facoltativa del conferimento dei dati medesimi, alle conseguenze di un eventuale rifiuto di rispondere ed ai soggetti ai quali tali dati possono essere eventualmente comunicati.
I dati personali, siano o non siano qualificati, sono (anzi, erano) tutti ricompresi nell’ambito di operatività dell’art. 23 che, prima dell’entrata in vigore del decreto di adeguamento n. 101 del 2017, disciplinava il consenso dell’interessato, precisando in particolare che “Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato” e quindi, al terzo comma, che “Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13”.
Quanto ai dati sensibili, inoltre, il Codice richiedeva che il consenso fosse espresso necessariamente in forma scritta (art. 23, comma 4).
Quindi, al Titolo III, il Testo Unico contemplava una serie di sanzioni amministrative ed illeciti penali e, nella peculiare ipotesi di riproduzione e diffusione di contenuti fotografici e video comminava, da un lato, la sanzione amministrativa del pagamento di una somma da cinquemila a trentamila euro (art. 162 D. Lgs. 196/2003 ante riforma) e, da altro lato, puniva la condotta di chi “al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli art. 18, 19, 23, 123, 126, e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, da sei a ventiquattro mesi” (art. 167 d. lgs. 196/2003).
Dunque, nel caso di pubblicazione (e quindi, diffusione) in una pagina web di qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, esponeva l’utent creator al rischio di irrogazione di una sanzione amministrativa, oltre che all’illecito penale previsto dall’art. 167 del d. lgs. 196/2003, per aver trattato dati personali altrui senza il consenso dell’interessato, ossia in violazione dell’art. 23 del Testo Unico.
• Il Regolamento dell’Unione Europea n. 679 del 2016 ed il decreto attuativo n. 101 del 10 agosto 2017: sanzioni amministrative e rilevanza penale
Come già si accennava, il predetto Regolamento UE sulla protezione dei dati personali, entrato in vigore in Italia il 25 maggio 2018, è – per sua natura – direttamente applicabile nell’ordinamento degli Stati membri dell’Unione Europea e, tuttavia, il Legislatore italiano ha ritenuto opportuna l’emanazione di un decreto attuativo che revisionasse la normativa italiana riguardante la tutela della privacy; così, il decreto n. 101 del 10 agosto 2017 ha ridisegnato la disciplina ed il complessivo assetto sanzionatorio della materia.
Anzitutto, il predetto decreto ha interamente abrogato l’art. 4 del d. lgs. 196/2003 già citato sopra, contenente – tra le altre – la definizione di dato personale e di dato sensibile, ora reperibile all’art. 4 del Regolamento dell’Unione Europea n. 679 del 2017. In secondo luogo, il decreto di adeguamento ha introdotto, agli artt. 2-quinquies e seguenti, specifiche disposizioni volte al trattamento di peculiari tipologie di dati cd. “qualificati” , disponendone l’illiceità penale del trattamento all’art. 167.
Una lettura pur superficiale delle disposizioni di nuovo conio suggerisce a primo impatto l’intenzione del Legislatore di riporre un particolare interesse nei confronti di alcune categorie di dati quali, ad esempio, i dati riguardanti il minore d’età, i dati necessari per motivi di interesse pubblico rilevante, i dati genetici, biometrici e relativi alla salute ovvero i dati relativi alle condanne penali ed ai reati; scompare, tuttavia, l’illiceità penale della condotta nel caso in cui il trattamento del dato personale “generico” sia compiuto in difetto del consenso del titolare: nell’abrogazione dell’art. 23 e nella riformulazione dell’art. 167, il decreto di adeguamento non ha tenuto conto del fatto che, ad oggi, risultano penalmente rilevanti le condotte concernenti il trattamento dei soli dati personali qualificati.
Con riferimento all’acquisizione del consenso, invero, entrano ora in gioco le disposizioni di cui agli artt. 6 e 7 del Regolamento UE n. 679/2017, che espressamente stabiliscono la liceità del trattamento se – e solo se – l’interessato abbia preventivamente espresso il consenso al trattamento dei propri dati e che impongono al titolare del trattamento l’onere di dimostrare tale acquisizione.
Così, intervenendo sull’apparato sanzionatorio e sulle disposizioni penali, il decreto attuativo ne ha ridisciplinato i presupposti, in particolare abrogando l’art. 162 e riscrivendo in toto l’art. 167.
Attualmente, dunque, l’ipotesi di riproduzione e diffusione di materiale fotografico e video sul web, potrebbe se mai essere inclusa nell‘ambito di operatività dell’art. 83 del Regolamento UE, il quale commina la mera sanzione amministrativa pecuniaria fino ad € 20.000,00 (o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente), nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso.
Nessuna incriminazione, dunque, per quanto concerne la pubblicazione dei dati personali generici, sempre che la condotta non rientri nella fattispecie penale del delitto di diffamazione, di cui infra.
• Il delitto di diffamazione e la libertà di espressione
Considerato il rischio di un vuoto di tutela che, evidentemente, trova ragione in una svista del Legislatore in sede di emanazione del decreto di adeguamento, come può tutelarsi l’individuo, laddove ne sia riprodotta sul web l’immagine o un video che lo ritragga?
Se è vero che la materia penalistica è improntata al principio di offensività (si rammenti il celebre brocardo “Nullum crimen sine iniuria”), è vero anche che la violazione della riservatezza altrui, al di fuori dei casi attualmente disciplinati dal Codice della Privacy, può assumere rilevanza penale laddove si configuri la lesione del diritto all’onore o alla reputazione altrui: solo in tal caso, infatti, va ad integrarsi il reato di diffamazione previsto all’art. 595 del codice penale.
In considerazione della platea di destinatari che attingono al web, peraltro, secondo l’orientamento consolidato della giurisprudenza di legittimità, la diffamazione a mezzo internet è equiparata alla diffamazione a mezzo stampa sotto il profilo delle potenzialità lesive e, dunque, contestabile l’aggravante di cui all’art. 595, comma 3, del codice penale (Cass. Pen., Sez. V, n. 40980 del 16/11/2012).
Ebbene, nei casi di pubblicazione di contenuti sul web, peraltro in violazione del diritto alla riservatezza dell’individuo, è frequente che la libertà di espressione entri in conflitto con il diritto all’onore e alla reputazione altrui e che, tale conflitto, generi la necessità di un bilanciamento tra interessi contrapposti: la libertà di manifestazione del pensiero di cui all’art. 21 della Costituzione, rende talvolta indispensabile un’attenta verifica circa la sussistenza di determinati presupposti che potrebbero eventualmente “scusare” la condotta illecita.
Non solo, lo stesso Regolamento dell’Unione Europea è intervenuto a rimarcare l’importanza della libertà di manifestazione del pensiero, rammentando agli Stati membri l’esigenza di conciliare la protezione dei dati personali con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria (art. 85).
In particolare, nell’ambito della libertà di manifestazione del pensiero, il diritto di critica si concretizza nell’espressione di un giudizio o di un’opinione che, come tale, non può essere rigorosamente obiettiva. Ben potrebbe dunque l’utent creator, al quale venga contestata la riproduzione di un contenuto in qualche modo offensivo dell’altrui onore e/o reputazione, invocare l’esimente del diritto di critica ai sensi dell’art. 51 del codice penale.
Ebbene, all’uopo occorre richiamare le numerose pronunce del giudice nomofilattico che individuano i limiti dell’esimente nella verità del fatto attribuito, nell’interesse pubblico alla conoscenza dei fatti e nella continenza o correttezza di espressione (Cass. Pen. 4 luglio 2008, n. 35646).
Peraltro, come ritenuto di recente dalla giurisprudenza di merito “Il diritto di critica giornalistica, al pari del diritto di cronaca, in virtù della diretta tutela che riceve dall’art. 21 Cost. e del necessario bilanciamento con i diritti individuali della persona riconosciuti dall’art. 2 Cost., soggiace a tutti i limiti individuati nei principi consolidati della giurisprudenza di legittimità, a partire dalla pronuncia delle SS.UU. penali della Cassazione del 23 ottobre 1984, più volte ribaditi anche in pronunce più recenti, secondo cui il diritto di stampa (ossia la libertà di diffondere attraverso la stampa notizie e commenti), sancito in linea di principio dall’art.21 Cost. e regolato nella legge 8.2.1948 n. 47, trova i suoi presupposti legittimanti nell’utilità sociale dell’informazione, nella verità (oggettiva, o anche soltanto putativa, purché, in tal caso, frutto di un serio e diligente lavoro di ricerca) e nella forma civile dell’esposizione dei fatti e della loro valutazione, ovvero in una forma non eccedente rispetto allo scopo informativo da conseguire e tale da escludere un deliberato intento denigratorio. Gli stessi limiti operano in maniera meno rigorosa nell’esercizio del diritto di critica, proprio in considerazione della soggettività della narrazione e del giudizio che essa tende ad esprimere, data per scontata in ragione della polemica politica e sociale cui si riferisce (Cass.4.5.2010, n.29730; Cass. 18.6.2009, n.43403)” (Tribunale di Roma sez. I, 22/02/2018, n.3941).
• Il risarcimento del danno
Sono invece innumerevoli le disposizioni in materia di risarcimento del danno nei casi di violazione della riservatezza, peraltro dislocate in altrettanto numerose fonti legislative: il trattamento illecito dei dati come attività è da considerarsi attività di per sé antigiuridica che è stata ricondotta dalla giurisprudenza di legittimità persino nell’ambito della responsabilità per il compimento di attività pericolose di cui all’art. 2050 del codice civile: anzi, a tal fine la Suprema Corte ha precisato che “I danni cagionati per effetto del trattamento dei dati personali ai sensi dell’art. 15 d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’art. 2050 c.c., che attiene alla responsabilità per attività pericolose; pertanto, il danneggiato è tenuto a provare il danno e il nesso di causalità tra questo e l’attività posta in essere, sorgendo in capo all’autore della condotta l’onere di dimostrare di aver adottato tutte le misure idonee ad evitare il danno” ( Cass. civ., sez. I, 3 settembre 2015, n. 17547).
Pur considerando l’abrogazione dell’art. 15 del Codice della Privacy, attualmente la disciplina risarcitoria è ricavabile dall’art. 82 del Regolamento dell’Unione Europea n. 679 del 2017, nonchè dall’art. 10 del codice civile e, ancora, dall’art. 96 del Codice della Proprietà Industriale (che tuttavia vieta la sola riproduzione del ritratto di una persona) e, in ogni caso – si ritiene – dalla clausola generale di cui all’art. 2043 del codice civile, nella misura in cui ne derivi la configurazione di una responsabilità extracontrattuale in capo a colui che ha riprodotto e divulgato contenuti illeciti.