Decreto legislativo - 9/04/2003 - n. 70 art. 21 - (Sanzioni)

La responsabilità dei prestatori

Un aspetto molto interessante della disciplina introdotta con il d.lgs. n. 70/2003 riguarda la regolamentazione della responsabilità del prestatore dei servizi della società dell'informazione, alla quale sono dedicati ben 4 articoli contenenti una disciplina particolarmente analitica, capace di andare oltre l'attività della contrattazione nel commercio elettronico in sé considerata: tali disposizioni, inserite negli articoli 14-17 del decreto, hanno costituito infatti la base normativa per inquadrare la responsabilità di soggetti che rivestono un ruolo di importanza fondamentale nel funzionamento generale della rete.

Gli articoli 14, 15 e 16 disciplinano la responsabilità dei prestatori di servizi distinguendo l'attività di trasmissione delle informazioni che viene compiuta in mero trasporto (c.d. mere conduit, art. 14), memorizzazione temporanea (c.d. caching, art. 15), e memorizzazione (c.d. hosting, art. 16), individuando i diversi presupposti di responsabilità per ciascun caso: da un punto di vista strutturale, in particolare, queste norme escludono la responsabilità del prestatore in presenza di determinati presupposti; in ogni caso, peraltro, l'autorità giudiziaria o amministrativa potrà imporre, anche in via d'urgenza, che il prestatore impedisca o ponga fine alle violazioni commesse.

Ai sensi dell'art. 14, dunque, nell'attività di mera trasmissione delle informazioni, cioè in assenza di una loro memorizzazione, il prestatore non è responsabile a condizione che non abbia dato origine alla trasmissione, non abbia selezionato il destinatario della trasmissione e non abbia selezionato né modificato le informazioni trasmesse. Ai sensi dell'art. 15, poi, il prestatore che compia attività di memorizzazione automatica, intermedia e temporanea non è responsabile a condizione che non modifichi tali informazioni, si conformi alle condizioni di accesso e alle norme di aggiornamento delle informazioni e, soprattutto, si attivi prontamente per rimuovere le informazioni memorizzate quando venga a conoscenza del fatto che queste sono state rimosse dalla fonte originaria o che un'autorità competente ne ha imposto la rimozione. Ai sensi dell'art 16, infine, il prestatore non è responsabile delle informazioni memorizzate a richiesta del destinatario a condizione che non sia a conoscenza della loro illiceità e che, qualora ne diventi consapevole, su comunicazione delle autorità competenti, si attivi prontamente per la rimozione di tali informazioni.

Come è stato evidenziato, la prima ipotesi di responsabilità, quella delineata all'art. 14 del decreto, concerne le fattispecie in cui il prestatore si limita a trasportare le informazioni illecite sui propri cavi o sui propri dispositivi; in questi casi l'intermediario non è a conoscenza dell'illiceità delle informazioni trasmesse e si limita a trasportarle in modo meccanico e passivo. Nella seconda ipotesi, disciplinata all'art. 15 del decreto, l'intermediario memorizza l'informazione per il tempo strettamente necessario alla sua trasmissione: ciò accade quando in una parte della memoria del computer dell'intermediario sono registrati i dati presenti nella rete e ricercati dal destinatario, al fine di renderli più facilmente accessibili. Nella terza ipotesi, infine, prevista all'art. 16 del decreto, gli intermediari forniscono ai propri utenti uno spazio sul proprio server, cioè sull'hard disk di un loro computer, per la gestione di un sito internet oppure per l'inserimento di dati che possono essere utilizzati in altro modo sulla rete: in questo caso le informazioni sono memorizzate in modo duraturo sul computer dell'intermediario che mette a disposizione lo spazio (Bocchini, 128 ss.).

In un recente arresto, Corte di Giustizia UE, 7 agosto 2018, C-521/17, Coöperatieve Vereniging c. Mehta, ha affermato che gli articoli 12-14 della direttiva 2000/31/CE (trasposti sul piano interno rispettivamente agli artt. 14-16 d.lgs. n. 70/2003), devono essere interpretati nel senso che le limitazioni di responsabilità in essi previste sono applicabili al prestatore di un servizio di locazione e di registrazione di indirizzi IP che consente di utilizzare anonimamente nomi di dominio internet, a condizione che il predetto servizio rientri tra quelli previsti nelle disposizioni menzionate e soddisfi le condizioni ivi richieste, cioè che la sua attività sia di tipo meramente tecnico, automatico e passivo e che quindi non sia a conoscenza né controlli le informazioni trasmesse o memorizzate dai suoi clienti, con accertamento che compete al giudice del merito.

Una delle questioni più importanti emerse negli ultimi anni, come anticipato, attiene alla configurabilità della responsabilità degli internet service providers, con particolare riguardo a tutte le attività che vengono da loro compiute con procedure automatizzate, come i risultati forniti dai motori di ricerca, ecc.

Proprio in merito all'attività di un notissimo motore di ricerca, Trib. Roma 3 dicembre 2015, in Danno e resp., 2016, 3, 299, ha affermato che siccome tale provider compie soltanto attività di caching (art. 15 del decreto), non può essere accolta la domanda del ricorrente che si duole della falsità delle notizie riportate dai siti visualizzabili per effetto della ricerca del suo nome, poiché egli avrebbe dovuto agire direttamente nei confronti dei titolari dei siti sorgente. In merito all'attività dei motori di ricerca, peraltro, si deve tenere conto della importante pronuncia resa dalla Corte di Giustizia UE, Grande sezione, 13 maggio 2014, C-131/12, Google Spain SL c. Agencia Española de Protección de Datos, secondo cui gli articoli 12, lett. b), e 14, comma 1, lett. a) della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti in tali disposizioni e sempre le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato ad eliminare dall'elenco di risultati ottenuti a seguito di una ricerca effettuata a partire dal nome di una persona i link a pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.

Trib. Milano, ord. 13 giugno 2017, in Dir. industriale, 2018, 3, 258, ha qualificato come hosting (art. 16 d.lgs. n. 70/2003) l'attività di un mercato online, affermando che il gestore non è responsabile qualora: a) non sia effettivamente a conoscenza dell'illiceità dell'attività o dell'informazione e, relativamente ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono evidente l'illiceità dell'attività o dell'informazione; b) una volta al corrente dei fatti, agisca immediatamente per la loro rimozione.

Per quanto concerne l'attività dei social network, Trib. Napoli Nord 4 novembre 2016, in Dir. & giust., 9 novembre 2016, ha affermato che il social network non è tenuto ad un'attività di controllo anticipato del contenuto dei commenti immessi dagli utenti; tuttavia, pur in assenza di un dovere generale di sorveglianza, deve ritenersi sussistente la responsabilità per le informazioni oggetto di memorizzazione durevole o hosting, qualora il prestatore sia effettivamente venuto a conoscenza dell'illiceità dell'informazione e non si sia attivato per impedirne l'ulteriore diffusione.

Ancora, per quanto attiene alle enciclopedie on line, Trib. Roma 9 luglio 2014, in Dir. inf., 2014, 6, 953, ha precisato che il soggetto che consente la realizzazione in linea di un'enciclopedia le cui voci sono opera del pubblico e da questo modificabili, compie un'attività qualificabile come hosting la cui responsabilità, ai sensi dell'art. 16 d.lgs. n. 70/2003, è esclusa in quanto si limita ad offrire ospitalità a informazioni fornite dal pubblico degli utenti.

Sempre sull'attività di hosting, App. Roma 29 aprile 2017, in Dir. industriale, 2018, 2, 181, ha precisato che per poter invocare l'esonero di responsabilità previsto dall'art. 16 del d.lgs. n. 70/2003, è necessario che il provider si limiti allo svolgimento di attività di tipo neutro, automatico e meramente tecnico. Peraltro, l'esenzione di responsabilità non trova applicazione nei casi in cui il soggetto leso abbia segnalato l'illecito al provider. Sempre sulla necessità di distinguere tra provider attivo e provider passivo, Trib. Roma 27 aprile 2016, in Dir. industriale, 2017, 5, 455, ha affermato che soltanto quest'ultimo può invocare l'esenzione di responsabilità prevista dal d.lgs. n. 70/2003 in tema di hosting e che non rientra in tale ipotesi il caso del prestatore che predispone una piattaforma on line dove sono messi a disposizione degli utenti migliaia di contenuti audiovisivi, organizzati per categorie e facilmente reperibili, con l'inserzione di avvisi pubblicitari; un hosting provider potrà dirsi passivo soltanto quando si limiti ad attivare il processo tecnico che consente l'accesso alla piattaforma di comunicazione sulla quale sono trasmesse o memorizzate temporaneamente le informazioni, messe a disposizione da terzi, al solo fine di rendere più efficiente la trasmissione.

Quanto alla rilevanza dell'attività compiuta dal prestatore, Trib. Milano 9 settembre 2011, in Dir. industriale, 2011, 6, 559, ha specificato che se il service provider compie attività ulteriori rispetto alla mera fornitura all'utente di uno spazio di memorizzazione dei contenuti e di un software per la comunicazione che ne consenta la visualizzazione a terzi, si deve ritenere inapplicabile la deroga contenuta nell'art. 16 d.lgs. n. 70/2003 che costituisce una limitazione alle ordinarie forme di responsabilità. Ancora in tal senso, si veda Trib. Milano 20 gennaio 2011, in Dir. industriale, 2012, 3, 243, secondo cui il prestatore che fornisce un hosting attivo si pone ben al di là della mera fornitura all'utente di uno spazio di memorizzazione di contenuti e di un software di comunicazione per la visualizzazione da parte di terzi, con conseguente esclusione del regime derogatorio previsto dall'art. 16 d.lgs. n. 70/2003.

Per quanto attiene all'attività di sorveglianza, infine, l'art. 17 del decreto ha cura di precisare che il prestatore, nel compimento delle attività di cui ai precedenti artt. 14, 15, e 16 non è tenuto ad un generale obbligo in tal senso. Peraltro, quest'ultimo dovrà prontamente dare comunicazione alle autorità competenti qualora venga a conoscenza di attività illecite concernenti un suo destinatario del servizio e a fornire le informazioni in suo possesso necessarie all'identificazione di quest'ultimo.

Attraverso questa disposizione, che costituisce la norma di chiusura della disciplina sulla responsabilità dei prestatori di servizi della società dell'informazione, si è esclusa l'esistenza di una responsabilità di tipo oggettivo in capo al prestatore, il quale non è tenuto ad un'attività di sorveglianza sulle informazioni trasmesse e, soprattutto, non deve ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite (Menichino, Art. 17, 2015, 1217 ss.).

In un recente arresto (Trib. Milano, ord. 13 giugno 2017, in Dir. industriale, 2018, 3, 258) si è affermato che l'host provider non ha un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzate, né un onere di attivarsi per accertare eventuali illeciti; è però tenuto ad avvisare prontamente l'autorità giudiziaria o amministrativa qualora sia venuto a conoscenza di attività illecite.

Corte di Giustizia UE, 16 febbraio 2012, C-360/2010, SABAM C. Netlog, ha specificato che non può essere ingiunto ad un prestatore di servizi di hosting di predisporre un sistema di filtraggio delle informazioni memorizzate sui propri server ad opera degli utenti dei suoi servizi, che si applichi indistintamente nei confronti di tutti questi utenti, a titolo preventivo, a sue spese esclusive e senza limitazioni temporali, idoneo ad identificare i file elettronici contenenti opere musicali, cinematografiche o audiovisive rispetto alle quali il richiedente il provvedimento affermi di vantare diritti di proprietà intellettuale, al fine di bloccare la messa a disposizione del pubblico di tali opere. Sul punto, già Corte di Giustizia UE, 24 novembre 2011, C-70/2010, Scarlet c. SABAM, aveva affermato che non si può imporre ad un prestatore di servizi di adottare un sistema di filtraggio per tutte le comunicazioni elettroniche che transitano per i suoi servizi (in particolare mediante programmi peer-to-peer), che si applica indistintamente a tutta la sua clientela, a titolo preventivo, a sue spese esclusive, senza limitazioni temporali e che sia idoneo a identificare nella sua rete la circolazione di file contenenti opere musicali, cinematografiche o audiovisive per bloccare il trasferimento che sia lesivo del diritto di autore.

CGUE, Grande Sezione, 12 luglio 2011, C-324/09, L'Oréal c. eBay, ha affermato che l'art. 14, n. 1 della direttiva 2000/31/CE deve essere interpretato nel senso che esso si applica al gestore di un mercato online qualora questi non abbia svolto un ruolo attivo che gli consenta di avere conoscenza o controllo sui dati memorizzati. Peraltro, anche nel caso in cui non sia stata svolta una siffatta attività, il gestore non potrà avvalersi dell'esonero di responsabilità previsto dalla norma menzionata nel caso in cui sia stato comunque al corrente di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l'illiceità delle offerte in vendita e non abbia prontamente agito ai sensi dell'art. 14, n. 1, lett. b) – art. 16, comma 1, lett. b) d.lgs. n. 70/2003.

Sempre in tema di responsabilità dell'hosting privider, nella giurisprudenza di merito si è ritenuto che l'attività di tale soggetto, che si limita a consentire l'accesso alla rete senza alcuna ingerenza nelle informazioni fornite dal sito e senza alcun contributo alla realizzazione di quest'ultimo, non può dare luogo a una sua responsabilità oggettiva o per omessa vigilanza qualora non sia a conoscenza di circostanze che rendano manifesta l'illiceità dell'attività svolta dal titolare del sito. Diversamente, risponde del danno provocato al titolare del marchio indebitamente utilizzato da un terzo come nome di dominio l'hosting provider che, nonostante fosse stato informato dell'illecito e diffidato dal titolare del marchio, non abbia provveduto di conseguenza (Trib. Catania 21 aprile 2011).

Composizione delle controversie e sanzioni.

Il d.lgs. n. 70/2003 dedica alcune importanti disposizioni anche al tema della composizione delle controversie e alla repressione delle violazioni eventualmente commesse, rispettivamente agli artt. 19 e 21.

L'art. 19 del decreto, in particolare, precisa che i prestatori e i destinatari dei servizi della società dell'informazione, qualora insorga tra loro una controversia, possono rivolgersi ad organismi di composizione extragiudiziale delle controversie che operano anche per via telematica. Ai sensi del secondo comma, poi, si prevede che tali organi comunichino alla Commissione Europea e al Ministero delle attività produttive (ora Ministero dello sviluppo economico) le decisioni più significative che sono adottate in materia.

Per quanto concerne le sanzioni, l'art. 21 del decreto stabilisce che, salvo il fatto costituisca reato, le violazioni di cui agli artt. 7, 8, 9, 10 e 12 sono punite con sanzione amministrativa pecuniaria, da 103 a 10.000 euro, con possibilità di duplicazione per ipotesi di particolare gravità o recidiva. La competenza per l'accertamento delle violazioni, fermi restando i poteri di accertamento degli ufficiali e degli agenti di polizia giudiziaria di cui all'art. 13 l. n. 689/1981, viene attribuita agli organi di polizia amministrativa.

L'art. 19, comma 1 d.lgs. n. 70/2003, come è stato osservato in dottrina, sembrerebbe prevedere un'alternatività dello strumento di composizione extragiudiziale delle controversie, che quindi verrebbe ad aggiungersi agli strumenti ordinariamente previsti. Gli organi di composizione extragiudiziale che operano per via telematica prendono comunemente il nome di O.D.R. (On line Dispute Resolution) e l'art. 19 del decreto li menziona espressamente come possibilità cui possono appunto ricorrere i prestatori e i destinatari dei servizi, oltre agli organi che operano secondo le modalità tradizionali. L'art. 19 prevede in particolare che gli organi in discorso possano essere inseriti nella ‘Rete europea di composizione extragiudiziale delle controversie' (EEJ-Net), nella quale, con riferimento all'Italia, si trovano oggi i servizi di conciliazione forniti dalla Camera Arbitrale di Roma e Milano, il servizio di conciliazione e arbitrato presso la Telecom, nonché l'Ombudsmann bancario costituito presso l'ABI. Come pure è stato osservato, dopo la prima fase pilota della rete EEJ, per quanto concerne i rapporti dove sono coinvolti i consumatori è sorta la European Consumer Centres Network (ECC-Net), il cui scopo è quello di istituire presso ogni Stato membro un'apposita stanza di compensazione (Clearing house) per fornire consulenza, informazione e assistenza anche in merito alla composizione delle controversie transfrontaliere (Menichino, Art. 19, 2015, 1232 ss.).

Sul piano delle sanzioni, la relativa articolazione era stata rimessa ai singoli Stati membri, fermo restando che le misure da adottare fossero effettive, proporzionali e adeguate: come è stato osservato, l'effettività sussiste quando la sanzione, considerata dal punto di vista della sua afflittività, è capace di raggiungere l'obiettivo che essa persegue; la proporzionalità serve a modulare l'afflittività per evitare che la sanzione travalichi lo scopo perseguito, imponendo un rapporto di congruità; il carattere dissuasivo attiene alla capacità della misura di orientare il comportamento del singolo prevenendolo. Dunque, l'art. 21 commina delle sanzioni amministrative pecuniarie soltanto per la violazione di disposizioni specificamente individuate, che si correlano ad obblighi inderogabili (Sarandrea, 1249).

Codici di condotta e dovere di cooperazione

Il d.lgs. n. 70/2003 prevede, tra le altre misure di tutela dei destinatari dei servizi, che i prestatori possano dotarsi di appositi codici di condotta. In tal senso, ai sensi dell'art. 18 del decreto, le associazioni o le organizzazioni imprenditoriali, professionali o di consumatori, possono promuovere l'adozione di codici di condotta che trasmettono al Ministero delle attività produttive (ora Ministero dello sviluppo economico) e alla Commissione europea. Ai sensi del secondo comma, in particolare, se il codice di condotta viene adottato esso è reso accessibile per via telematica e deve essere redatto in più lingue: italiana, inglese e almeno in un'altra lingua dell'Unione. Nella redazione dei codici di condotta, infine, è richiesto che sia garantita la protezione dei minori e la salvaguardia della dignità umana.

Ai sensi dell'art. 20 del decreto, infine, si prevede che presso il Ministero delle attività produttive (ora Ministero dello sviluppo economico) sia istituito il punto di contatto nazionale, accessibile anche per via telematica, per l'assistenza e per la collaborazione agli Stati membri e alla Commissione.

I codici di condotta costituiscono delle fonti normative, di natura volontaria e autoregolamentare, del commercio elettronico; si tratta quindi di strumenti mediante i quali si contribuisce al raggiungimento dell'uniformazione della disciplina in materia. Si è peraltro discusso sulla loro natura, sulla loro portata precettiva e sulle conseguenze della violazione delle disposizioni in essi contenute. Si è osservato che i codici di condotta elaborati dalle associazioni di categoria hanno natura contrattuale e, come tali, risultano vincolanti per gli aderenti delle associazioni stesse; rispetto ad essi, quindi, il consumatore si pone come terzo dotato di un legittimo affidamento meritevole di tutela. In particolare, l'indicazione on line del marchio di qualità fa sorgere un affidamento nei destinatari su determinate garanzie che l'impresa sembrerebbe assicurare: pertanto, in caso di violazione dei relativi precetti, quest'ultima potrebbe essere chiamata a rispondere anche di inadempimento contrattuale nei confronti del consumatore. Per quanto attiene alla protezione dei minori, si è evidenziato l'importanza dell'adozione del Codice di Autoregolamentazione ‘Internet e minori', il cui scopo è quello di proteggere questi ultimi dalla diffusione di contenuti non adatti all'età, come per la pornografia e la violenza (S. Romano, 1226 ss.).

Per quanto concerne l'art. 20 del d.lgs. n. 70/2003, di attuazione dell'art. 19 della direttiva 2000/31/CE, con esso si è introdotto in un sistema di cooperazione tra gli Stati membri e di condivisione con le Amministrazioni pubbliche, i prestatori e i destinatari dei servizi della società dell'informazione. Assume qui un ruolo centrale il Ministero delle attività produttive (ora Ministero dello sviluppo economico), anche attraverso il proprio sito internet istituzionale che funge da portale generale istituzionale per il commercio elettronico (Delfini, 1249).

Il T.A.R. Roma 8 gennaio 2014, n. 10236, sul piano della condotta dei prestatori e delle tutele del consumatore ha affermato che, quando il prestatore di servizi risponde entro 60 minuti ai quesiti formulati dai consumatori, in linea di principio una maschera per la richiesta di informazioni elettronica rappresenta una via di comunicazione diretta ed efficace ai sensi della direttiva 2000/31/CE; peraltro, nei casi eccezionali nei quali il destinatario del servizio si trovi privato dell'accesso alla rete telefonica, dopo aver preso contatto per via elettronica con il prestatore di servizi, la comunicazione mediante maschera di richiesta di informazioni elettronica non può essere considerata conforme alla direttiva 2000/31/CE.