Con provvedimento del 28 febbraio 2008, il Garante della
Privacy è intervenuto sul caso Peppermint, statuendo
l’illiceità e la non correttezza del trattamento dei
dati personali svolto dalle società coinvolte nella vicenda e
disponendo il divieto di ogni ulteriore utilizzo dei dati
trattati. In breve, a partire dal 2006 la Peppermint Jam
Records GmbH (etichetta discografica tedesca) e la Techland sp.
Z.o.o. (società polacca che realizza e commercializza giochi
elettronici) hanno presentato svariati ricorsi cautelari nei
confronti di provider italiani di servizi
di accesso ad internet, al fine di ottenere la comunicazione
delle generalità di soggetti ritenuti responsabili di scambio
di file protetti dal diritto d’autore, attraverso la
rete peer to peer, ai quali detti
provider avevamo fornito i necessari indirizzi
IP. Tali richieste si basavano sui risultati delle precedenti
indagini svolte autonomamente dalle due società, attraverso un
software di monitoraggio della rete peer to
peer. Tali indagini avevano, infatti, evidenziato
l’esistenza di numerosi indirizzi IP, i cui titolari
erano ritenuti responsabili di violazione dei diritti
d’autore delle due società.
Le prime ordinanze emesse ancora nel 2006 e
all’inizio del 2007 hanno accolto la richiesta delle due
società. Al contrario, le pronunce più recenti
(in particolare ord. Tribunale di Roma 17 luglio 2007) hanno
modificato tale orientamento iniziale, stabilendo che, sulla
base della legislazione vigente in materia di trattamento di
dati personali, i titolari di diritti d’autore non
possono chiedere, nell’ambito di procedimenti civili, i
nominativi dei soggetti ritenuti responsabili di violazioni in
internet dei propri diritti d’autore. Secondo il
Tribunale di Roma, l’art. 156 bis
della LDA (Legge Diritto d’Autore) – invocato da
Peppermint e Techland – non è applicabile ai dati e alle
informazioni che attengono a comunicazioni elettroniche né ai
dati di traffico da queste prodotte, in quanto vige il divieto
generale di trattamento e comunicazione di tali dati in forza
della normativa interna e comunitaria in materia di tutela
della riservatezza delle comunicazioni elettroniche tra privati
e dei dati personali. Si ricorda che l’art. 156
bis LDA ammette la facoltà, per il
soggetto che abbia già fornito “seri
elementi” a fondamento della propria domanda
ed abbia individuato documenti o informazioni detenuti dalla
controparte, di ottenere che il giudice ne disponga
l’esibizione ovvero che richieda informazioni alla
controparte o elementi per identificare i soggetti ritenuti
autori di violazioni di diritti d’autore, tali da
confermare tali indizi. Unica eccezione al generale divieto di
trattamento di tali dati sarebbe la tutela e la difesa di
interessi della collettività ovvero la protezione dei sistemi
informatici o la repressione di specifici reati, interessi e
valori che sono risultati assenti nella tutela in ambito civile
di diritti soggettivi privati, come quelli portati da
Peppermint e Techland.
Ebbene, il Garante della Privacy, a seguito di tali
ultime pronunce, ha esaminato le modalità con le quale le due
società avevano effettuato il trattamento di dati personali e
ne ha decretato l’illiceità e la non correttezza,
disponendone la cessazione entro il 31 marzo 2008. In
particolare, la raccolta e la conservazione degli indirizzi IP
e degli altri dati ottenuti (file
condivisi, date e ora del
download), attraverso un software di
monitoraggio, sono risultate in violazione del principio di
liceità, finalità, buona fede e trasparenza, in quanto, tra
l’altro, avvenute senza che gli interessati ne fossero a
conoscenza e senza che fosse applicabile l’esimente alla
richiesta di consenso. Le attività di indagine sono state
configurate dal Garante come attività di monitoraggio vietata
a soggetti privati.
Sebbene il Garante della Privacy non sia entrato nel
merito delle motivazioni alla base delle recenti ordinanze di
rigetto del Tribunale di Roma – in buona parte legate
alla normativa in materia di protezione dei dati nelle
comunicazioni elettroniche, tuttavia il provvedimento in esame
consente di delineare la posizione assunta dal Garante nella
vicenda Peppermint, ossia la prevalenza degli interessi delle
collettività alla tutela e protezione della riservatezza e dei
dati personali nelle comunicazioni elettroniche sugli interessi
privati di tutela, in sede civile, del diritto
d’autore.
Da ultimo, si segnala che la Corte di Giustizia delle
Comunità Europea ha affrontato i medesimi temi in una vicenda
del tutto analoga a quella di Peppermint e Techland,
stabilendo, con una sentenza del 29 gennaio 2008, che il
diritto comunitario non impone agli Stati membri, per garantire
l’effettiva tutela del diritto d’autore,
l’obbligo di divulgare dati personale nel contesto di un
procedimento civile.