(in Foro italiano, 2004, IV, 449) di FRANCESCO DI CIOMMO
CORTE D’APPELLO DEGLI STATI UNITI PER IL PRIMO CIRCUITO; sentenza 29 giugno 2004, n. 03-1383; Giud. TORRUELLA, CYR, LIPEZ (dissenziente); United States (Avv. KATZMANN, SULLIVAN) c. B.C. Councilman (Avv. GOOD); Conferma District Court for the District of Massachussets 2003.
Diritto comparato e legislazione straniera – Informatica giuridica e diritto dell’informatica – Internet – Servizio di posta elettronica – E-mail degli utenti – Controllo da parte del service provider – Violazione delle norme in materia di intercettazione – Insussistenza (Wiretap Act, 18 United State Code § 2510-2522, § 371)
Negli Stati Uniti, considerato il tenore del Wiretap Act (legge federale), che attribuisce una protezione minore alle comunicazioni elettroniche rispetto alle comunicazioni orali anche svolte tramite conduttori elettrici, non si ha un’ipotesi di trattamento illecito se il service provider interviene sulle e-mail degli utenti durante il periodo in cui queste sono memorizzate, ai fini di servizio, sulle sue risorse informatiche. (1)
_________________________________________________________________
Il commento di F. Di Ciommo
Internet Privacy e controllo delle e-mail da parte del service provider.
I. – Una pronuncia inattesa. Mentre continuano incessantemente ad aumentare a livello mondiale il numero degli utilizzatori di Internet ed il volume dei materiali contenuti nel World Wide Web, prosegue, negli Stati Uniti come in Europa, l’elaborazione giurisprudenziale e legislativa dei temi più scottanti del diritto dell’informatica e, più in particolare, del diritto delle reti telematiche, sino a poco tempo fa terreno di indagine ancora principalmente dottrinale (per una recente panoramica, v. D. VALENTINO, a cura di, Manuale di diritto dell’informatica, Napoli, 2004). Così, dopo alcuni anni di serrato dibattito teorico sulla segretezza delle comunicazioni condotte tramite reti telematiche – e cioè sulla necessità, sostenuta da alcuni autori e negata da altri, che l’ordinamento giuridico impedisca il controllo da parte di terzi delle comunicazioni on-line e specialmente di quelle realizzate mediante servizi di posta elettronica (cfr., tra gli altri, L. EDWARDS, Consumer Privacy, On-Line Business and the Internet: Looking for Privacy in all the Wrong Places, in International Journal of Law and Information Technology, 2003, 226; C.E. FRAYER, Privacy and Internet Monitoring: Balancing Worker’s Rights and Dignity with Legitimate Management Interests, in Business Lawyer, 2002, n. 2, 857; e H. OLIVER, Email and Internet Monitoring in the Workplace: Information Privacy and Contracting-Out, in Industrial Law Journal, 2002, n. 4, 321; in Italia il tema è stato affrontato principalmente in relazione al potere dei datori di lavoro di controllare le comunicazioni dei propri dipendenti: da ultimo, v. G. CASSANO, Abusivi collegamenti Internet del lavoratore in azienda e abusivo controllo elettronico dell’azienda sull’attività del lavoratore, in Giur. merito, 2003, I, 27; e M. ATELLI, Responsabile dinanzi alla Corte dei conti chi naviga in ufficio su siti internet illeciti – I controlli a posteriori sull’attività del dipendente non violano le norme per il diritto alla privacy, in Guida al dir., 2004, fasc. 1, 93) –, gli interventi pretori, soprattutto nordamericani, in argomento cominciano ad essere numerosi; e non mancano esiti tutt’altro che prevedibili.
Un autorevole esempio di tale imprevedibilità è dato dalla pronuncia in epigrafe, con la quale la Corte federale d’appello degli Stati Uniti per il Primo Circuito ha risolto – per la verità, a maggioranza dei suoi membri e con l’importante dissenting opinion del giudice Lipez – un procedimento giudiziario per intercettazione, memorizzazione e trattamento illegale dei contenuti delle e-mail private degli utenti a carico di un fornitore del servizio di posta elettronica, confermando la sentenza di primo grado emessa dalla District Court del Massachussets, Giudice M.A. Ponsor (Unites States v. Councilman, 245 F. Supp. 2d 319), e sancendo un principio che in queste ore sta destando in tutto il mondo preoccupazione tra quanti (le stime più recenti parlano di circa seicento milioni di individui) usano più o meno quotidianamente la posta elettronica per motivi personali o lavorativi.
L’odierna vicenda riguarda la responsabilità penale di Mr. Councilman, il quale nel 1998 era vicepresidente e manager responsabile dei servizi di Internet Service Provider della società Interloc, operante nel campo dei libri rari o fuori produzione, che, tra l’altro, forniva on-line ai propri clienti un servizio di posta elettronica consentendo l’apertura di indirizzi e-mail con account che terminavano in «@Interloc.com». In tale sua veste, l’imputato, al fine di raccogliere dati commerciali relativi al mercato librario, fece in modo che il sistema di posta elettronica amministrato dalla Interloc fosse in grado di intercettare, copiare e memorizzare automaticamente tutti i messaggi che provenivano agli indirizzi dei suoi clienti dalla società concorrente «Amazon.com», prima che gli stessi fossero distribuiti ai destinatari. Tale condotta, secondo l’accusa, viola il Wiretap Act, 18 United State Code § 2510-2522 e § 371, in quanto integra una condotta di illecita intercettazione di comunicazioni di terzi. Già in primo grado, tuttavia, la District Court del Massachussets, evidenziando come l’attività contestata alla Interloc fosse svolta mentre le e-mail erano elettronicamente memorizzate sulle risorse informatiche della società stessa, aveva ritenuto che ciò impedisse di configurare l’ipotesi di intercettazione ai sensi del Wiretap Act. A questo proposito, giova ricordare che nel 1999 con l’Electronic Communication Privacy Act (ECPA) – L. No 99-508, 100 Stat. 1848 (1999) – fu emendato il Titolo III dell’Omnibus Control and Safe Streets Act del 1968, comunemente inteso come la normativa federale sulle intercettazioni. Lo ECPA era suddiviso in due parti: il Titolo I, conosciuto come Wiretap Act, 18 U.S.C. §§ 2510-2522; e il Titolo II, conosciuto come Stored Communication Act ,18 U.S.C. § 2701-2711.
Investita della questione in forza del ricorso proposto dalla pubblica accusa, la Corte d’Appello ha ritenuto di dover preliminarmente precisare la differenza che ai sensi del § 2510 del Wiretap Act esiste tra “comunicazioni svolte mediante conduttori elettrici” (wire communications), definite dall’Act in parola come «ogni trasferimento di segnale audio effettuato in tutto o in parte per mezzo di risorse per la trasmissione di comunicazioni che usano conduttori elettrici, cavo o altro come connessione tra il punto di origine e il punto di ricezione fornita o gestita da soggetti che forniscono o gestiscono le risorse stesse», e “comunicazioni elettroniche” (electronic communications), definite dal Wiretap Act come «ogni trasferimento di segni, segnali, scritti, immagini, suoni, dati, o messaggi di qualunque natura effettuato in tutto o in parte mediante sistemi elettrici, radiofonici, elettromagnetici, fotoelettrici o fotoottici». Evidenziata questa distinzione, il collegio giudicante ha continuato sottolineando come, ai sensi del 18 U.S.C. § 2510, nella nozione di wire communication rientra anche «any electronic storage of such communication», e cioè ogni memorizzazione dei dati oggetto di comunicazione, mentre lo stesso § 2510 a proposito delle comunicazioni elettroniche non fa menzione dell’attività di memorizzazione.
Ciò basta, secondo la Corte, a ritenere che il trattamento delle e-mail contestato alla Interloc, rientrando senza dubbio nel concetto di comunicazioni elettroniche ed essendo stato svolto mentre la posta elettronica era memorizzata sulle risorse informatiche della società, non possa integrare gli estremi di una intercettazione illecita ai sensi della normativa federale nordamericana. Mentre, ad una conclusione contraria si sarebbe con tutta probabilità addivenuti qualora l’intercettazione delle e-mail fosse avvenuta attraverso modalità tali da non consentire l’inquadramento della condotta dell’imputato nell’ambito dell’«electronic storage», e cioè del trattamento di comunicazioni memorizzate.
II. – Controllo dei contenuti veicolati in rete versus riservatezza delle comunicazioni elettroniche. Nel caso odierno due sono i profili particolarmente significativi, peraltro tra loro intimamente connessi: 1) attribuendo valore decisivo alla lettera della norma, i giudici del Primo Circuito hanno statuito che, ai sensi del § 2510 del Wiretap Act, le comunicazioni elettroniche sono protette in modo meno completo delle comunicazioni orali anche svolte tramite conduttori elettronici; 2) la corte ha, dunque, sacrificato ogni considerazione relativa alla natura di Internet come rete di comunicazione dalle infinite potenzialità relazionali, ma soggetta, più di ogni altro media tradizionale, a rischi enormi sul piano della privacy, con ciò quasi ribaltando la situazione e cioè finendo per legittimare un certo tipo di controllo sulle comunicazioni elettroniche, non consentito invece per gli altri media.
Da circa dieci anni, ossia subito dopo la nascita di Internet come rete commerciale aperta e diffusa in tutto il mondo, la dottrina giuridica mondiale si è divisa tra quanti, sottolineando la natura intimamente anarchica di Internet e le potenzialità dannose delle attività commesse on-line (tra gli altri, v. lo studio del Governo britannico redatto nel dicembre 2002 e intitolato “Defamation and the Internet”, disponibile al 30 maggio 2004 sul sito: «www.lawcom.gov.uk»), sostengono che i provider dovrebbero poter controllare i contenuti dei materiali che essi veicolano in rete, al fine di evitare, per quanto possibile, che gli utenti commettano illeciti attraverso servizi di posta elettroniche, bachece on-line, newsgroup, chat ecc., e quanti al contrario ritengono che il riconoscimento di un qualsivoglia controllo da parte dei provider sulle comunicazioni degli utenti si tradurrebbe inevitabilmente nella creazione di un pericoloso potere di censura in violazione dei diritti fondamentali della persona (cfr. F. DI CIOMMO, Internet, diritti della personalità e responsabilità aquiliana del provider, in Danno e resp., 1999, 756). Il tema, dunque – al di là di come potrebbe apparire alla luce dell’odierna vicenda, in cui il controllo del provider sulle e-mail degli utenti era esclusivamente finalizzato a trarre informazioni utili alla propria attività di impresa – è di quelli cruciali nell’ottica dell’organizzazione della grande rete e della giuridicizzazione del world wide web, ancora oggi terra di nessuno, per la più parte sottratta all’applicazione delle regole giuridiche e del principio di responsabilità giuridica (per gli opportuni approfondimenti, sia consentito rinviare a ID., Evoluzione tecnologica e regole di responsabilità civile, Napoli, 2003, in part. 165-350). E ciò anche in considerazione del fatto che Internet si sta evolvendo «sempre più in senso anti-inibitorio; circostanza questa confermata dal comportamento anarcoide degli utilizzatori, che trova nell’anonimato veicolo prediletto e ragione primaria» (cfr. ID., Internet e crisi del diritto privato: tra globalizzazione, dematerializzazione e anonimato virtuale, in Riv. criica. dir. priv., 2003, 117). E’ appena il caso di notare che, proprio per non far sostenere ai provider italiani ingenti oneri di memorizzazione dei dati nonché per evitare di imporre per legge attività che potrebbero ledere la riservatezza individuale, in sede di conversione è stato recentemente modificato l’art. 3 del decreto 24 dicembre 2003 n. 354, sì che attualmente in Italia, ai sensi della legge n. 45 del 26 febbraio 2004, che ha novellato l’art. 132 del d.lgs 196 del 2003, l’obbligo di memorizzazione dei dati per ventiquattro mesi riguarda esclusivamente il «traffico telefonico».
III. – La situazione normativa in Europa. Prima della sentenza in epigrafe era dato pensare che, in materia, le scelte di politica del diritto dei legislatori dei paesi progrediti fossero nel senso di assicurare alle comunicazioni elettroniche quantomeno lo stesso trattamento riservato agli altri media, laddove non vi fossero specifici bisogni di intervenire ad ulteriore tutela della privacy on-line. In questa prospettiva si muoveva l’OCSE già nel marzo del 1997, quando bocciò la proposta, sostenuta dalla Gran Bretagna e dalla Francia, di creare una chiave di accesso universale in grado di decodificare tutti i messaggi trasmessi via Internet per consentire agli organismi investigativi di decifrare le comunicazioni in rete effettuate in codice ed individuarne la provenienza. E similmente faceva nel dicembre dello stesso anno l’Unione europea, che nella Raccomandazione n. 3/1997, adottata dal Gruppo per la tutela delle persone fisiche con riguardo al trattamento dei dati personali” definiva «essenziale» il diritto all’anonimato e alla segretezza delle comunicazioni elettroniche. Negli Stati Uniti la scelta di parificare, sotto il profilo della tutela della privacy, le comunicazioni elettroniche a quelle tradizionali sembrava evidente proprio alla luce del già citato Electronic Communications Privacy Act del 1999, nel cui articolato impianto normativo, però, la Corte d’Appello del Primo Circuito ha oggi individuato un’importante falla a discapito delle comunicazioni elettroniche, peraltro non trattandola come tale, bensì interpretandola come un chiaro segno della volontà normativa del legislatore federale.
In Europa, il passo è stato segnato prima dalla direttiva 2000/31/Ce dell’8 giugno 2000, «relativa a taluni aspetti dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno» (c.d. Direttiva sul commercio elettronico) e, poi, dalla direttiva 2002/58/Ce del 12 luglio 2002, «relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche» (c.d. Direttiva relativa alla vita privata e alle comunicazioni elettroniche), che ha sostituito la direttiva 97/66/Ce. Meno significative, ma non per questo trascurabili, sono in materia anche le direttive n. 19 e n. 22 emanate dal Parlamento europeo e dal Consiglio il 7 marzo 2002, oggi attuate in Italia con il d. lgs. n. 259 del 1° agosto 2003, c.d. Codice delle comunicazioni elettroniche.
La Direttiva 2000/31/Ce – attuata in Italia con il d.lgs. n. 70 del 9 aprile 2003, entrato in vigore il 14 maggio seguente (per un recente studio sull’applicazione della direttiva nei paesi membri, v. il primo rapporto della Commissione europea al Parlamento e al Consiglio dell’Unione, “COM(2003) 702 final”, presentato il 21 novembre 2003 e disponibile al 30 giugno 2004 sul sito «www.europa.eu.int/comm/internal_market/en/commerce/index.htm») – non affronta il problema dei rapporti tra la tutela della privacy degli utenti on-line e il ruolo dei provider, ed anzi, nella sezione dedicata alle responsabilità, artt. 12-15 – probabilmente per evitare il rischio di over detterrence e tutti gli effetti che ne sarebbero derivati (cfr. G. PONZANELLI, Verso un diritto uniforme per la responsabilità degli Internet Service Provider, in S. Sica – P. Stanzione, a cura di, Commercio elettronico e categorie civilistiche, Milano, 2002, 363) – esonera i fornitori di servizi della società dell’informazione da ogni tipo di responsabilità per omesso controllo sui contenuti veicolati in rete per conto di altri, salvo che contribuisca fattivamente, ad esempio, alla scelta dei destinatari della comunicazione, ovvero salvo che, essendo a conoscenza della presenza di materiali illeciti altrui memorizzati sulle proprie risorse informatiche non si affretti ad oscurarli (per gli opportuni approfondimenti, v. tra gli altri DI CIOMMO, Evoluzione tecnologica e regole di responsabilità civile, cit., in part. 289-305; R. BOCCHINI, La responsabilità civile degli intermediari del commercio elettronico. Contributo allo studio dell’illecito plurisoggettivo permanente, Napoli, 2003; e G.M. RICCIO, La responsabilità civile degli internet providers, Torino, 2002).
Al tema specifico della tutela della riservatezza on-line è dedicata la direttiva del 2002, espressamente presa in considerazione nel d. lgs. n. 196 del 30 giugno 2003 – il c.d. nuovo codice in materia di privacy che ha sostituito, dal 1° gennaio scorso, la legge n. 675 del 1996 –, e successivamente oggetto di un’apposita previsione normativa, contenuta nell’art. 12, comma 1, della legge comunitaria del 2003, la n. 306 del 31 ottobre 2003, che delega(va) il Governo ad emanare il relativo provvedimento di attuazione entro il 31 maggio 2004. La normativa europea in parola impone ad ogni fornitore di servizi di comunicazione elettronica accessibili al pubblico di prendere appropriate misure tecniche ed organizzative per salvaguardare la “sicurezza” e la “riservatezza” dei suoi servizi. Inoltre, la direttiva impone agli Stati di vietare l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando ciò sia legalmente autorizzato perché essenziale ai fini delle indagini delle autorità amministrative o di polizia competenti nell’ottica della salvaguardia della sicurezza nazionale, della difesa e della sicurezza pubblica, ovvero quando la memorizzazione avvenga nel quadro di «legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale» (cfr. S. VIGLIAR, Privacy e comunicazioni elettroniche: la direttiva 2002/58/Ce, in Dir. informaz. e inform., 2003, 401; F. DI CIOMMO, Diritti della personalità tra media tradizionali ed avvento di Internet, in G. Comandé, a cura di, Persona e tutele giuridiche, Torino, 2003, 7).
IV. – Il trattamento delle comunicazioni elettroniche in Italia. Il risultato ermeneutico su cui si fonda la pronuncia in epigrafe – che tuttavia, giova precisarlo, tratta la spinosa questione esclusivamente nell’ottica della mancata configurazione, nel caso di specie, del reato di intercettazione illegittima di comunicazioni elettroniche private come enucleato dalla normativa federale nordamericana – con tutta probabilità, per quanto desti legittime preoccupazioni sullo stato della regolamentazione mondiale in materia, non dovrebbe avere ricadute applicative nei tribunali europei. E ciò in particolare per quanto previsto dall’art. 5 paragrafo 1 e dal considerando n. 22 della direttiva 2002/58/Ce ove si chiarisce che – sebbene esista il divieto erga omnes di memorizzare le comunicazioni elettroniche private ed i relativi dati sul traffico – non è vietata la memorizzazione automatica, intermedia e temporanea, dei contenuti trasmessi in rete effettuata dal provider esclusivamente: a) a scopo di trasmissione nella rete di comunicazione elettronica; e b) a condizione che l’informazione non sia memorizzata per un periodo superiore a quanto necessario per la trasmissione e ai fini della gestione del traffico, e che c) durante il periodo di memorizzazione sia assicurata la riservatezza dell’informazione. La qual cosa significa che, quand’anche il provider sia autorizzato a memorizzare automaticamente e temporaneamente i contenuti delle comunicazioni elettroniche che tratta nella prestazione dei sui servizi, egli deve farlo sempre nel massimo rispetto della riservatezza personale, sicché non è legittimato a conoscere i contenuti delle comunicazioni, ad esempio, al fine di condurre – come nel caso della Interloc – ricerche di mercato.
Questa conclusione è a maggior ragione valida per l’Italia tanto in considerazione delle garanzia costituzionali (che nel nostro ordinamento sono poste a presidio della segretezza della corrispondenza e, più in generale, delle comunicazioni), quanto in ragione del già citato recente codice in materia di privacy, il quale all’art. 122, in ossequio all’obbligo comunitario, prevede che «è vietato l’uso di una rete di comunicazione elettronica […] per archiviare informazioni o per monitorare le operazioni dell’utente», salvo che l’utente abbia espresso il consenso sulla base di una previa informativa e che il trattamento sia giustificato da «determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto dall’abbonato o dall’utente», e sempre che ciò avvenga in presenza dei presupposti e nei limiti individuati nel codice di deontologia e buona condotta la cui attuazione il Garante promuove tra i fornitori di servizi mediante reti di comunicazioni elettroniche. Tuttavia, considerata la totale estraneità della rete Internet alle logiche geografiche e territoriali, il dato sulla situazione normativa nazionale non può certo consentire agli users italiani di dormire sonni tranquilli.
