free wi-fi e identificazione degli utenti

Di alcuni problemi legati alla fornitura di wi-fi libero e gratuito avevo già fatto cenno; questi problemi ora tornano alla ribalta in virtù di una sentenza resa in questi giorni dalla Corte di Giustizia dell’Unione Europea, che riattualizza il tema della necessità di identificare gli utenti e delle responsabilità che possono derivare dalla messa a disposizione della connessione.

Il caso

Il signor Tobias Mc Fadden, titolare di un negozio di materiali d’illuminazione e audio, allo scopo di attrarre clientela, offriva gratuitamente al pubblico una rete wi-fi.

Nell’anno 2010, però, attraverso detta connessione, un’opera musicale veniva illecitamente messa a disposizione per lo scaricamento.

Il titolare dei diritti, pertanto, intimava al signor Mc Fadden di porre fine alla violazione, ma questi si difendeva opponendo di non esercitare alcun controllo sulla rete wi-fi, che era liberamente accessibile a ogni utente; precisava di aver consapevolmente omesso di proteggerla mediante password al fine di consentire al pubblico l’accesso a Internet. Egli, infine, negava di aver commesso l’asserita violazione, ma ammetteva di non poter escludere che essa fosse stata commessa da uno degli utenti della sua rete.

Il titolare dei diritti, invece, riteneva il signor Mc Fadden responsabile della violazione, quantomeno indirettamente per aver omesso di proteggere la rete stesse anche solo subordinandone l’accesso a un procedimento di identificazione mediante password. La questione è approdata innanzi alla Corte di Giustizia per ottenere una pronuncia pregiudiziale sui punti che appaino maggiormente controversi in ordine alla corretta interpretazione della direttiva sul commercio elettronico (Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno).

Come è noto la direttiva sopra richiamata esclude la responsabilità dei prestatori intermediari per un’attività illecita iniziata da un terzo, allorché la loro prestazione consista nel «semplice trasporto» («mere conduit») di informazioni. Tale esclusione di responsabilità sussiste purché siano soddisfatte tre condizioni cumulative, cioè il prestatore:

1. non deve dare origine alla trasmissione,
2. non deve selezionare il destinatario della trasmissione e
3. non deve selezionare né modificare le informazioni trasmesse.

La decisione

la Corte di Giustizia ha ritenuto, innanzitutto, che mettere una rete wi-fi a disposizione del pubblico gratuitamente al fine di attirare l’attenzione dei potenziali clienti sui prodotti o i servizi di un negozio costituisce un «servizio della società dell’informazione» ai sensi della direttiva.

In particolare la Corte si è soffermata sulla gratuità della connessione rilevando che non è vero    che una prestazione di natura economica effettuata a titolo gratuito non possa mai costituire un «servizio della società dell’informazione» ai sensi dell’articolo 12, paragrafo 1, della direttiva 2000/31. Infatti, la remunerazione di un servizio fornito da un prestatore nell’ambito della sua attività economica non è necessariamente versata dai soggetti che ne fruiscono (v., in tal senso, sentenza dell’11 settembre 2014, Papasavvas, C‑291/13, EU:C:2014:2209, punti 28 e 29).

Ciò si verifica, in particolare, nel caso in cui una prestazione effettuata a titolo gratuito sia fornita da un prestatore a fini pubblicitari per beni venduti o servizi forniti dal medesimo prestatore, dato che il costo di tale attività è così integrato nel prezzo di vendita di tali beni o di tali servizi (sentenza del 26 aprile 1988, Bond van Adverteerders e a., 352/85, EU:C:1988:196, punto 16, nonché dell’11 aprile 2000, Deliège, C‑51/96 e C‑191/97, EU:C:2000:199, punto 56).

Appurato pertanto, che, ai sensi della direttiva, “una prestazione come quella oggetto del procedimento principale, fornita dal gestore di una rete di comunicazione e consistente nel mettere quest’ultima a disposizione del pubblico gratuitamente, costituisce un «servizio della società dell’informazione» (…) quando è effettuata dal prestatore di cui trattasi a fini pubblicitari per beni venduti o servizi forniti dal medesimo prestatore”, la Corte ha poi confermato che, qualora le tre condizioni riportate sopra siano soddisfatte, non può sorgere alcuna responsabilità di un prestatore il quale, come il sig. Mc Fadden, fornisca l’accesso a una rete di comunicazione.

La prima conseguenza che da ciò si trae è che il titolare di diritti d’autore non può chiedere a tale prestatore un risarcimento per il motivo che tale rete sia stata utilizzata da terzi in violazione dei suoi diritti. Dal rigetto della domanda di risarcimento consegue che il titolare di diritti non possa neppure ottenere il rimborso delle spese di diffida o delle spese legali connesse a tale domanda.

Tutto bene quindi? Non proprio. Infatti la pronuncia non si ferma qui: la Corte prosegue enunciando quello che è il portato più rilevante della pronuncia affermando che invece, la direttiva non osta a che il titolare di diritti chieda a un’autorità o a un organo giurisdizionale nazionale di ordinare a un tale prestatore di porre fine a ogni violazione dei diritti d’autore commessa dai suoi clienti o di prevenire violazioni simili.

Ci si può domandare in cosa consista questo ordine: si può domandare l’interruzione della fornitura del servizio di connessione, ad esempio? No, spiegherà la Corte. Tuttavia ci sono misure delle quali si può pretendere l’adozione.

La Corte pone un primo bilanciamento tra i diversi interessi in gioco, constatando che un’ingiunzione che imponga di proteggere la connessione a Internet mediante una password è idonea a realizzare un equilibrio tra i diritti di proprietà intellettuale, da un lato, e, dall’altro, il diritto alla libertà d’impresa dei fornitori di accesso e il diritto alla libertà d’informazione degli utenti della rete.

La Corte rileva, in particolare, che una misura di questo tipo è idonea a dissuadere gli utenti di una rete dal violare diritti di proprietà intellettuale. A tal riguardo, la Corte sottolinea, però, che, al fine di garantire la realizzazione di tale effetto dissuasivo, è necessario che gli utenti siano obbligati a rivelare la loro identità prima di poter ottenere la password richiesta, così da evitare che agiscano anonimamente.

Di contro, la direttiva esclude in modo esplicito l’adozione di una misura consistente nella sorveglianza delle informazioni trasmesse attraverso una determinata rete. Allo stesso modo, una misura consistente nel chiudere completamente la connessione a Internet senza prevedere l’adozione di misure meno restrittive della libertà d’impresa del fornitore di tale connessione non sarebbe idonea a conciliare i citati diritti che concorrono nella fattispecie.

Le conseguenze pratiche sul wi-fi libero e gratuito

In pratica che effetti può avere una sentenza simile su chi offre un servizio di connessione senza fili gratuitamente e senza identificazione degli utenti?

Innanzi tutto la pronuncia ci dice che il gestore della rete può andare incontro a spese per gli illeciti commessi dagli utenti: infatti, stabilendo che il gestore non deve rispondere dei danni provocati dalle violazioni commesse dagli utenti, la Corte ha anche affermato che il titolare del diritto d’autore può però chiedere che sia inibita la prosecuzione delle violazioni, e che il titolare leso possa pretendere il pagamento delle spese di diffida e delle spese legali nei confronti di un fornitore di accesso ad una rete di comunicazione i cui servizi siano stati utilizzati al fine di commettere la violazione, nel caso in cui tali domande siano volte oppure siano conseguenti all’adozione da parte di un’autorità o di un organo giurisdizionale nazionale di un’ingiunzione che vieti a detto fornitore di permettere la prosecuzione di siffatta violazione.

Inoltre la Corte ha ammesso che in via di principio, è possibile ottenere un’ingiunzione che,  anche prevedendo il versamento di una penalità, imponga a un fornitore di free wi-fi di impedire a terzi di rendere disponibile al pubblico, attraverso tale connessione a Internet, su una piattaforma Internet di condivisione (peer-to-peer), una specifica opera protetta dal diritto d’autore o parti di essa, qualora il fornitore abbia la possibilità di scegliere le misure tecniche da adottare per conformarsi a detta ingiunzione, anche se tale scelta si riduca alla sola misura consistente nel proteggere la connessione a Internet mediante una password, nei limiti in cui gli utenti di detta rete siano obbligati a rivelare la loro identità al fine di ottenere la password richiesta e non possano quindi agire anonimamente, circostanza che spetta al giudice del rinvio verificare.

In altre parole, a fronte del verificarsi della violazione il Titolare del diritto d’autore potrà chiedere a una autorità giudiziaria o amministrativa di intimare al gestore della rete l’adozione di misure volte a porre fine alla violazione.

Stando alla sentenza, le spese che accompagnano l’emanazione di questo provvedimento sarebbero a carico del gestore della rete wi-fi.

Si può prevede il pagamento di una penale per il mancato, tempestivo adeguamento al provvedimento.

Inoltre, se il fornitore non si conforma al provvedimento dovrà rifondere al titolare del diritto d’autore anche le spese legali sia della diffida che del successivo giudizio.

Si noti come l’obbligo di identificare gli utenti (o di adottare altre misure analoghe) sorga nel gestore solo a seguito di un provvedimento a lui indirizzato, che a sua volta discende da una violazione del diritto d’autore.

E che la sua libertà d’impresa sia tutelata, secondo la Corte, dalla possibilità che gli viene accordata di scegliere tra più misure.

L’adozione di misure di identificazione comporterà il rispetto degli obblighi che discendono dalla normativa posta a tutela dei dati personali (i così detti “obblighi privacy”: misure di sicurezza, informative da rendere ecc…)

Pertanto, la seconda conseguenza (indiretta) della sentenza, per il gestore, sarà adempiere agli obblighi normativi connessi al trattamento dei dati personali.

Data retention

Nel bilanciamento operato dalla Corte non pare posto in rilievo il “trattamento eccedente” sotto il profilo privacy. C’è tuttavia da chiedersi se i dati identificativi vadano conservati, per permettere di individuare l’autore di violazioni che venissero comunque commesse.

In realtà, seppure la privacy cada di lato rispetto al ragionamento della Corte, ciò non pare necessario alla luce della pronuncia: i giudici paiono convinti che subordinare l’accesso alla rete all’identificazione degli utenti sia di per sé garanzia che gli utenti non commetteranno illeciti e lo scopo delle misure pare essere quello di dissuadere gli utenti dal commettere illeciti (o cessare il compimento delle votazioni in atto) più che consentirne l’identificazione al titolare del diritto d’autore violato.

C’è da chiedersi, però, anche che ne sarà di queste misure se non si rivelassero così efficaci come la Corte sembra ritenere nello scoraggiare la commissione di illeciti e se verranno potenziate in un non lontano futuro, precisando quali elementi identificativi siano richiesti (ad esempio, sarà possibile definire il criterio soddisfatto se si prevede un accesso tramite social network?). o se sarà necessaria la conservazione dei dati.

Dato che la valutazione pare rimessa ai giudici locali, sarà bene monitorare anche la giurisprudenza nazionale.

Più domande che risposte

Inoltre il bilanciamento degli interessi è posto solo tra libertà d’impresa e tutela del diritto d’autore.  Solo nel caso di questo tipo di violazione, pertanto, sarà possibile ottenere un’ingiunzione, come quella delineata in sentenza? Non i caso di violazioni inerenti i diritti della persona (trattamento illecito di dati personali o diffamazione, ad esempio)?

Cosa converrà ai gestori di reti wi-fi di fronte a un simile impianto? Cosa sarà meno dispendioso? Sperare che i loro anonimi utenti non commettano illeciti o predisporre sin d’ora un accesso subordinato all’ottenimento di credenziali? Il wi-fi gratuito e libero, anonimo, è già finito?

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Responsabilità del provider e protezione dei dati personali
19/03/2017

Uso decettivo dei segni distintivi in AdWords
17/10/2016

Link e diritto d’autore online: l’applicazione italiana del caso Svensson
05/04/2016

Link e copyright: il caso Svensson
07/01/2016

Facebook e diritti fotografici, la prova della malafede è più facile 
30/06/2015

Diffamazione su Facebook? No
19/05/2015