È diffamatorio non aggiornare una notizia online con evoluzioni favorevoli

autore: 

Marco Tullio Giordano

 

La Corte di Cassazione condanna il Codacons al risarcimento del danno per non aver aggiornato un articolo pubblicato sul proprio sito web con la notizia del proscioglimento dell’indagato (Corte di Cassazione, sez. III Civile, sentenza 31 ottobre – 30 dicembre 2014, n. 27535 , Presidente Petti – Relatore Sestini)

 

Sono state pubblicate il 30 Dicembre scorso le motivazioni della sentenza n. 27535, con la quale la Terza Sezione Civile della Corte di Cassazione ha confermato la condanna al risarcimento, inflitta dalla Corte di Appello di Roma nella misura di 30.000,00 euro al Codacons (Coordinamento delle Associazioni per la Difesa dell'Ambiente e dei Diritti degli Utenti e Consumatori) per non aver aggiornato – o meglio, per non aver evidenziato gli sviluppi, favoreli al protagonista, nello stesso contesto riservato alla notizia originaria – in un articolo che riportava l’apertura di una inchiesta giudiziaria a carico di un dirigente responsabile dell’Istituto Superiore della Sanità.

L’associazione per la tutela dei diritti dei consumatori era stata convenuta in giudizio circa due anni fa per aver pubblicato, sulle pagine del proprio sito web, un comunicato dal titolo «Il grande tranello», con il quale dava conto dell’apertura di un indagine della Procura della Repubblica di Roma per verificare la correttezza del lavoro svolto dal direttore generale dell’Istituto superiore di Sanità, nonché di un suo collaboratore. A destare perplessità era stato, in particolare, il fatto che il ricercatore, che aveva il compito di controllare la nocività delle onde elettromagnetiche, fosse stato in passato dirigente di un’associazione privata, finanziata da una società produttrice di telefonini cellulari. Accusato nel corpo del post di aver «da sempre pubblicamente avallato il comportamento dei suoi collaboratori», il direttore generale aveva dunque citato in giudizio varie testate giornalistiche e non, tra cui anche Mediaset ed il Codacons, chiamandole a risarcire i danni asseritamente causati.

La notizia, in effetti, risultava corretta solo al momento della sua prima diffusione, in quanto dava atto dell’apertura dell’indagine penale, così rispondendo ai necessari requisiti di correttezza, completezza e interesse pubblico. Lo stesso medesimo contenuto, tuttavia, aveva assunto secondo l’attore, carattere diffamatorio, dal momento in cui era stato riproposto tempo dopo, senza integrare quanto inizialmente comunicato con l’informazione che l’inchiesta si era chiusa in favore dei due indagati. Ad opinione dei giudici di merito prima, e della Cassazione poi, il mancato aggiornamento del comunicato aveva leso la reputazione del dirigente attraverso informazioni non più attuali e tali da fornire «all’utente un’immagine distorta ed incompleta dei fatti».

La Corte di Cassazione ha ritenuto ininfluente, inoltre, che la notizia del proscioglimento degli indagati fosse stata data sulle stesse pagine del sito del Codacons, seppur all’interno di una differente sezione, dedicata alle problematiche attinenti l’elettrosmog. Per gli ermellini, la correttezza e completezza dell’informazione «avrebbe richiesto che la notizia fosse evidenziata nello stesso contesto o quanto meno alla fine del comunicato», anche tenendo conto della sostanziale immanenza dei contenuti web e del fatto che essi, a differenza delle pagine di un quotidiano, restano facilmente consultabili dal pubblico anche a lunga distanza dalla loro pubblicazione.  

Respinta dunque la tesi del Codacons, secondo la quale il contenuto pubblicato non integrava alcuna violazione, dovendo considerarsi semplicemente lecita espressione del diritto di critica e di libera manifestazione del pensiero.

Al vaglio della Suprema Corte non ha trovato accoglimento neppure l’ulteriore eccezione, relativa alla quantificazione del danno, secondo la quale i giudici di merito non avrebbero richiesto alla parte lesa la prova del pregiudizio concretamente patito: «stando alle motivazioni depositate a corredo della conferma della sentenza di Corte di Appello, questa circostanza può sufficientemente essere accertata in via presuntiva e non risulta dunque violato il principio secondo cui anche il danno non patrimoniale costituisce danno conseguenza che deve essere allegato e provato (Cass., S.U. n. 26972/2008), giacché l'affermazione della Corte di merito circa il fatto che il danno, in casi del genere, è in re ipsa postula comunque un preventivo accertamento - ancorché presuntivo - dell'esistenza della lesione (in conformità a Cass. n. 6507/2001 e Cass. n. 20120/2010)».

Del resto, già la Corte d’Appello di Roma aveva correttamente fatto riferimento alle «notorie sofferenze» di un soggetto del quale era stata fornita un’immagine biasimevole sotto il profilo etico, e che sia stato additato «come una persona sulla cui condotta professionale si stava indagando», con un sicuro ed evidente danno in campo professionale e relazionale. Di nessun rilevo, infine, l’argomento sul numero di accessi alla notizia, circa 300 mila, considerato dal Codacons non effettivo senza la prova che tutti gli utenti avessero letto il comunicato.

Per i giudici, infine, la somma liquidata non è risultata eccessiva, anche in considerazione della qualifica rivestita dall’alto dirigente del massimo organo scientifico preposto alla tutela della salute pubblica. Il risarcimento quantificato in via equitativa nei precedenti gradi di giudizio, era da ritenere, pertanto, adeguato, in considerazione di molteplici elementi, tra cui «il contenuto del comunicato, la particolare qualifica rivestita dal dirigente, nonché la potenziale alta diffusività del messaggio denigratorio».

In pieno dibattito parlamentare sulla necessità di rivedere la normativa, tanto civile quanto penale, disciplinante il fenomeno della diffamazione e prevedere meccanismi di rettifica che garantiscano, più che la persecuzione dell’autore degli scritti diffamatori, la tutela dei diritti delle persone offese, la pronuncia resa in questa sede fornisce un interessante spunto di riflessione, che potrebbe contribuire a calibrare più proficuamente il prossimo, atteso, intervento del legislatore.

Leggi tutto...

Tutela dei dati personali in azienda: arriva Data Protection Officer

autore: 

Marco Tullio Giordano

La figura professionale del responsabile aziendale per il trattamento dei dati personali esiste già in 15 nazioni europee. In Italia dovrebbe essere introdotta con l’anno nuovo, a seguito dell’emanazione del nuovo regolamento europeo sulla privacy. Quale sarà l’impatto sulle aziende?

 

Quello legato alla privacy è un concetto che fin dalla sua prima ed originaria formulazione, è stato sottovalutato o quanto meno mal recepito dagli italiani. E’ evidente che il principio del “right to be left alone”, di matrice anglosassone, che pure in epoca più recente ha lasciato il posto ad un rinnovato diritto individuale di esercitare un controllo attivo sulla circolazione delle proprie informazioni personali, stenta ad essere tenuto in considerazione nel nostro Paese. Nonostante la normativa di settore esista ormai da anni, fin dalla sua introduzione ad opera della Legge n. 675/1996, poi sostituita dal D.Lgs. 196/2003 (il c.d. Codice della Privacy), la percezione del bisogno di attenzione da parte degli operatori non sembra ancora essere sufficiente: i titolari del trattamento, siano essi privati piuttosto che imprese, non comprendono o non attribuiscono la giusta importanza alle disposizioni sulla protezione dei dati personali dei loro utenti. 

 

Eppure, le sanzioni attualmente previste vanno dai 6.000 a 36.000 euro e, tenendo conto di alcune circostanze aggravanti, esse potrebbero venire raddoppiate o addirittura quadruplicate. Nell’arco di un solo mese, è stato di 24 milioni di euro l’ammontare delle violazioni scoperte da Federprivacy, l’organismo associativo di categoria, sui siti web italiani esposti a rischio di potenziali sanzioni, comminabili dal Garante a seguito dei controlli effettuati dal Nucleo Privacy della Guardia di Finanza. E, se non ciò bastasse, dall’Europa potrebbe giungere una  nuova e preoccupante riforma: il prossimo Regolamento Europeo, che secondo quanto anticipato dal Commissario Juker potrebbe arrivare entro febbraio 2015, vorrebbe innalzare, difatti, le sanzioni fino a 100 milioni di euro o, quantomeno, in misura del 5% del fatturato dell’impresa sanzionata.

 

L’inasprimento delle sanzioni, tuttavia, non è l’unica misura annunciata per ricondurre a ragione gli enti che sembrano disinteressarsi dell’importanza del corretto trattamento dei dati ad essi affidati: la bozza del Regolamento Europeo, ad oggi ancora in discussione, prevede infatti anche l’introduzione ufficiale di una nuova figura professionale, il Data Protection Officer (DPO). L’introduzione coatta di un esperto altamente qualificato, quindi, quale ulteriore strumento di garanzia nella gestione della Privacy all’interno dell’azienda. Negli ultimi mesi se ne è sentito molto parlare, ma di cosa si tratta, realmente?

 

Il Data Protection Officer o, per geo-contestualizzare, il Responsabile della Protezione dei Dati, è, dunque, la nuova figura professionale che probabilmente si inserirà nel panorama, già nutrito, dei consulenti aziendali, sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende. In base al dettato dell’art. 35 del testo attualmente in discussione, sarà obbligatoria per tutte le pubbliche amministrazioni, nonché per migliaia di altre imprese che possiedono determinati requisiti. Tra di essi, il dare impiego ad almeno 250 dipendenti o, ancora, occuparsi di attività che prevedono “un controllo regolare e sistematico degli interessati”, il cui numero superi, su base annua, le cinquemila unità. 

 

Nata ufficialmente negli Stati uniti nel 1999 e già regolamentata per legge in 15 dei 28 Paesi dell’Unione, come già anticipato, questa figura professionale diventerà obbligatoria a livello europeo con l’entrata in vigore del Regolamento Unico sulla protezione dei dati personali, che andrà a sostituire la direttiva 95/46/CE. Secondo l’esperienza dei Paesi che prevedono l’esistenza di simili funzionari, chiamati in alcuni casi anche Chief Privacy Officer, la laro qualifica dovrebbe essere quella di responsabili privacy che effettuano accertamenti del tipo “privacy impact assessment” e conducono per ogni progetto aziendale dettagliate analisi di risk assessment. Ma ciò non è tutto. La bozza di regolamento, infatti, prevede di più. Ai sensi dell’art. 37 della bozza del Nuovo Regolamento Europeo concernente la Protezione dei Dati Personal, il DPO, in collaborazione con il CDA o il CEO di un'azienda, dovrà infatti aggiornare le altre figure apicali circa gli adempimenti obbligatori, sorvegliarne l’attuazione, occuparsi della formazione inhouse, controllare che eventuali violazioni della normativa siano documentate e notificate al Garante (secondo il disposto dei nuovi articoli 31 e 32 del Regolamento), accertarsi che l’azienda dia seguito alle richieste dell’autorità di controllo, fungere infine da punto di contatto durante ogni occasione di dialogo con la pubblica amministrazione. Un compito carico di responsabilità, quindi, che tuttavia risulta necessario per ravvivare l’attenzione sul tema.

 

Sebbene si tratti di una figura professionale non  ancora prevista dalla legge italiana, essa è già una realtà presente in diversi contesti,  al punto che la stessa Autorità Garante nella propria Relazione annuale presentata nel 2012 ne ha sottolineato l’importanza affermando che: un ruolo positivo è sicuramente giocato dalle figure di responsabili privacy, oramai piuttosto diffuse, che, coordinando e indirizzando l’azione degli uffici periferici, assicurano una più puntuale e attenta applicazione della legge. In una qualche misura, dall’ esperienza di queste nuove figure professionali viene quasi anticipata la funzione del privacy officer, ben conosciuta in altri ordinamenti e recentemente inserita nelle bozze del nuovo regolamento comunitario in materia di protezione dei dati personali. (Relazione 2012, cit. pag. 227). Nel nostro Paese, anche se il legislatore non è ancora intervenuto per introdurre precise regole in merito, grazie al benestare del Ministero dello Sviluppo Economico e tenuto conto della Legge 4/2003, l’associazione Federprivacy ha implementato già dal 2012 un percorso formativo per i professionisti, volto ad ottenere la certificazione di questa figura tramite l’ente tedesco TÜV Examination Institute, che rilascia un riconoscimento basato sulla Norma ISO/IEC 17024:2004, riconosciuta a livello internazionale. Non potendo prevenire la norma comunitaria, tuttavia, si è scelto di limitarsi a definirlo con la qualifica, dissimile ma sostanzialmente identica, di Privacy Officer.

 

Quello del Data Protection Officer, del resto, è un profilo non ancora disciplinato all’interno dell’ordinamento italiano e che, per poter essere completo, dovrà racchiudere caratteristiche di per sé diverse tra loro: competenze giuridiche, profonde competenze informatiche e spiccate doti umane di leadership e comunicazione. Sotto certi aspetti, le conoscenze richieste lo accomunano tipicamente ad un avvocato, ma tale requisito potrebbe anche non essere essenziale. Sicuramente sarà un professionista multidisciplinare, che possieda profonde competenze informatiche e di processo. Solo il tempo soddisferà la nostra curiosità. Certo è che le conseguenze dell’imposizione di questa nuova figura professionale non potranno che apportare benefici in vista di un migliore trattamento dei dati personali degli utenti da parte delle aziende.

Leggi tutto...

Geolocalizzazione e diritto: un vuoto nel panorama normativo

autore:

Marco Tullio Giordano

Mentre le tecnologie di individuazione e posizionamento sono diventate di uso comune e vengono utilizzate, talora anche inconsapevolmente, ogni giorno da milioni di utenti, l’ordinamento dovrebbe interrogarsi sul corretto uso della geolocalizzazione, alla luce dell’assenza di norme processualpenalistiche e delle condivisibili aspettative di privacy

La geolocalizzazione consiste nell’attività e nel risultato dell’applicazione di tecnologie capaci di determinare, con un sempre più trascurabile margine di approssimazione, l’ubicazione nello spazio di un oggetto o di una persona, principalmente attraverso un sistema di posizionamento satellitare (il c.d. GPS) o mediante la rete cellulare. A dispetto di una apparente complessità, la geolocalizzazione negli ultimi anni ha cessato di appartenere solo ad ambiti specialistici quali l’industria militare o il comparto della navigazione, riguardando ormai “passivamente” situazioni del tutto abituali, quali, ad esempio, le comunicazioni telefoniche e telematiche o le transazioni economiche online, mentre le stesse operazioni di geolocalizzazione “attiva” sono divenute di pressoché generale dominio.

Così, sebbene da tempo si era posta la questione dello statuto giuridico del trattamento dei dati rilevati mediante tale sistema, lo sviluppo di nuove generazioni di cellulari con GPS integrato e il moltiplicarsi di applicazioni “sociali”  hanno oggi reso la stessa questione assai più critica per la vulnerabilità di libertà individuali (quali la libertà personale, l’aspettativa di riservatezza, la libertà di circolazione) e collettive (nello specifico lavorative e sindacali). Sul piano processuale, poi, è soprattutto il diritto di difesa ad essere sotto osservazione, se si riflette sul fatto che i risultati di attività di geolocalizzazione acquisiti a posteriori spesso non vengono reperiti con le garanzie eventualmente connesse all’attività investigativa. In attesa di uno specifico intervento normativo, sul panorama italiano è la giurisprudenza a trainare l’adeguamento del diritto allo sviluppo tecnologico, pur non mancando rilevanti condizionamenti da parte delle rispettive autorità di settore.

Con riferimento a questi ultimi, possono, infatti, menzionarsi taluni interventi del Garante per la Protezione dei Dati Personali, anche se di portata specifica, in quanto concernenti le condizioni di liceità del trattamento da parte dei datori di lavoro, mediante geolocalizzazione satellitare, di dati afferenti a lavoratori dipendenti (si vedano, a tal riguardo, i provvedimenti del 5 giugno 2008, 18 febbraio 2010, 4 ottobre 2011, 1 agosto 2012 e 7 marzo 2013) se del caso, anche mediante esternalizzazione del servizio stesso di geolocalizzazione. Da una lettura coordinata delle prescrizioni emesse dal Garante a tutela della privacy, pertanto, emerge chiaramente lo scrupolo dell’authority di assicurare, a fronte di una non denegata necessità del rilevamento di persone e cose per fini legittimamente connessi all’attività d’impresa, la qualità dei dati trattati (nel senso della loro essenzialità e pertinenza), l’indispensabile informativa delle persone geosorvegliate e l’esclusione di forme di sorveglianza in dispregio allo Statuto dei lavoratori (sul punto, si veda il provvedimento di blocco di raccolta dei dati di geolocalizzazione dei dipendenti, emesso nei confronti di una società trentina il 7 ottobre 2010).

Sul piano più generale, l’aumento dell’attenzione portata dal Garante alla problematica della geolocalizzazione, risulta evidente fin dalla Relazione annuale del 2012, ove a più riprese sembra intersecarsi con l’intervento a tutela del corretto trattamento dei dati personali. Evidente è, del resto, la sintonia con gli orientamenti formulati in ambito comunitario dal cosiddetto Gruppo di lavoro Art. 29, il cui Parere 13/2011 - WP 185, sui servizi di geolocalizzazione su dispositivi mobili intelligenti, del 16 maggio 2011, al momento costituisce il più autorevole quadro di riferimento di livello europeo. A mente di tale Parere, alle attività di geolocalizzazione sono riferibili le normative recate dalle direttive 1995/46/CE e 2002/58/CE, il cui art. 2 ragiona, tra l’altro, alla lett. c), di “dati relativi all’ubicazione”, come quelli trattati in una rete di comunicazione elettronica, idonei ad indicare la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico. L’attenzione del documento è concentrata soprattutto sui soggetti che esercitano le attività in questione, individuati specificamente nei responsabili di infrastrutture geolocalizzanti, nei fornitori di servizi di geolocalizzazione e negli stessi sviluppatori dei sistemi d’uso di dispositivi mobili. A tali soggetti incombe munirsi del consenso informato degli interessati come condizione di legittimità del trattamento da geolocalizzazione, se del caso, richiedendolo dopo un certo lasso di tempo; mentre, a agli utenti, deve essere assicurata la possibilità di una revoca efficace del consenso, senza il rischio di ricadute negative sull’uso del loro terminale mobile, oltreché quella di ottenere l’accesso ai dati di delocalizzazione che li concernono, nonché alle eventuali profilature basate su questi stessi dati. Resta, infine, obbligo dei titolari del trattamento determinare un tempo di conservazione dei dati non eccedente, assicurandosi della loro effettiva cancellazione.

Nel nostro ordinamento, d’altro canto, a parte l’attuazione delle due anzidette direttive, concernenti in via generale la materia, non esistono riferimenti di livello primario pertinenti o specifici – neppure in ambito processualpenalistico – sicché tutto risulta rimesso alle coordinate derivabili dall’interpretazione giurisprudenziale, su cui campeggia, ovviamente, la posizione della Suprema Corte. La quale, peraltro, pare essersi assunta un assai critico compito di retroguardia nel settore, a giudicare dal confronto con le attenzioni comunitarie e con quelle oggetto dell’intervento del Garante. Ripercorrendo gli arresti degni di nota sul punto, non possono, infatti, nutrirsi dubbi circa la formazione, nel tempo, di uno spesso filone giurisprudenziale attestato nel differenziare, sul piano investigativo, rispetto ad altre attività d'indagine, l’attività di geolocalizzazione, in quanto stimata di minima invasività e di debole capacità di captazione di dati, ed assimilata (soprattutto a partire dalla sentenza Cass. pen., sez. V, 2 maggio 2002 n. 16130) ad una sorta di pedinamento mediante satellite, tanto da inferirne che i dati così ottenuti, poiché non attinenti né a conversazioni, né a comunicazioni, non richiedano il rispetto della disciplina di cui agli artt. 266 e ss. c.p.p. e delle garanzie proprie della privacy. Peraltro, in dottrina, non manca chi, pur accedendo alla  suesposta configurazione della Cassazione, ritiene auspicabile un intervento legislativo per tipizzare le attività in questione, postulando almeno l’intervento del Pubblico Ministero per accertare la concreta ed effettiva indispensabilità delle indagini (cfr. M. Stramaglia, Il pedinamento satellitare: ricerca ed uso di una prova atipica, in Dir. pen. e proc., 2011. 213 ss.).

Nel contempo, sul piano processuale e probatorio, la medesima prospettiva conduce a considerare i dati raccolti con la geolocalizzazione alla stregua delle prove atipiche ricadenti sotto la disciplina dell’art. 189 c.p.p., la cui assunzione è del tutto rimessa al giudice, se ritenuta idonea ad assicurare l’accertamento dei fatti senza compromettere la libertà morale della persona. Da tale interpretazione sembra essere derivato un articolato dibattito dottrinale sulla gestione dei dati raccolti,  ad esempio tra chi auspica l’inserimento nel fascicolo del dibattimento anche del supporto informatico e non solo del verbale riassuntivo delle operazioni di analisi compiute sui sistemi di localizzazione (di questo avviso Laronga, Il pedinamento satellitare: un atto tipico lesivo di diritti inviolabili?, in Questione giustizia, 2002, 1153 ss.), e chi circoscrive le risultanze della geolocalizzazione al solo fascicolo del Pubblico Ministero, escludendole dal fascicolo del dibattimento, salvo il previo accordo delle parti (in questo senso Falato, Sulla categoria dei mezzi atipici di ricerca della prova e le cd. intercettazioni GPS, in Giur. it., 2010, 2418 ss.).

Di tale atteggiamento, svalutativo dei legittimi dubbi sollevati in materia, pare ancora segno il recente diniego della Suprema Corte di problematizzare la situazione, sollevando la questione di legittimità costituzionale della sua stessa interpretazione, in quanto imposta, secondo il ricorrente, dalla normativa penale di rito, poiché favorevole alla collocazione dei sistemi di rilevamento e acquisizione di dati, notizie e conversazione all’interno di luoghi riservati, pur in assenza di una specifica disciplina legislativa delle modalità d’intromissione nella vita privata (si veda Cass., pen., Sez. II, 21 maggio 2013, Bellino ed altri in Archivio penale).

Anche alla luce delle considerazioni pregresse, non sembra, pertanto, azzardato individuare nell’attuale panorama italiano una situazione patologica rispetto al disposto dell’art. 8 CEDU: secondo la Corte Europea, infatti, l’attività di geolocalizzazione deve giovarsi anch’essa delle tutele offerte dalla Convenzione di Roma, costituendo un dato di assoluta evidenza come siffatta attività incida in maniera considerevole sulla libertà e la riservatezza personali. Una situazione patologica probabilmente non più trattabile in via ordinaria, a motivo del carattere ormai cronicizzato del dato giurisprudenziale, tale da rendere difficilmente praticabile anche il rimedio di interpretazioni convenzionalmente conformi, nonché persino poco utile lo stesso intervento dei giudici della Consulta. Di pari passo col progresso tecnologico, infatti, è aumentata la necessità di protezione dei cosiddetti dati sensibili, ed il legislatore non può più non tenerne conto: la geolocalizzazione deve senz’altro ritenersi molto più invasiva del classico pedinamento a vista, a motivo principalmente della sua capillarità e delle sue modalità temporali, conseguendone la necessità di una più compiuta regolamentazione a livello normativo.

Leggi tutto...
Sottoscrivi questo feed RSS