Con l’ordinanza in epigrafe il Tribunale di Roma, sezione specializzata in materia di proprietà industriale ed intellettuale, ha rigettato il ricorso presentato dalla Peppermint Jam Records GmbH e dalla Techland sp. Z o.o. volto ad ottenere l’esibizione da parte dalla Wind Telecomunicazioni S.p.a. dei dati anagrafici necessari all’identificazione di (presunti) responsabili di violazioni del diritto d’autore di cui le stesse sono titolari.

La pronuncia fa seguito ad alcune ordinanze di senso contrario, già oggetto di commento su questa rivista¹, emanate dal Tribunale di Roma in data 19 agosto 2006, 22 settembre 2006 e 9 febbraio 2007, tutte relative al c.d. “caso Peppermint”.

Il fatto, in sintesi, concerne la richiesta ex art. 156 bis, L. 633/1941 di una casa discografica tedesca (e in quest’ultimo caso anche di una società polacca produttrice di giochi elettronici) di ostensione da parte dell’ISP dei dati anagrafici relativi agli intestatari di linee telefoniche che, connettendosi a reti P2P, avrebbero condiviso file di opere tutelate in violazione del diritto di cui all’art. 16, L. 633/1941.

I dati necessari all’identificazione dei soggetti che avrebbero svolto attività di file-sharing sono rappresentati dall’indirizzo IP e dal codice GUID (dati attraverso cui il provider può risalire con certezza alle generalità dei soggetti intestatari dell’account e dunque normalmente della linea telefonica che si è connessa in rete) e sono stati acquisiti dalle ricorrenti tramite una società svizzera, la Logistep AG², con sede legale in Steinhaused (Svizzera), Sennweidstrasse n. 45, con un apposito software che, inserendosi nella rete e simulando degli scambi P2P, ha raccolto gli indirizzi IP degli utenti connessi ai programmi di file sharing registrandone i relativi dati (indirizzo IP, data e ora della connessione, file condiviso) su di un’apposita banca dati, a sua volta gestita da un altro software.

Tali dati, a dire delle ricorrenti, costituiscono i “seri elementi” di natura indiziaria previsti dall’art. 156 bis, L. 633/1941 per la valutazione da parte dell’Autorità giudiziaria della fondatezza della richiesta di esibizione.

La vicenda ha in vero dimensioni transnazionali: l’attività della LOGISTEP AG è stata utilizzata per azioni in vari paesi (tra gli altri Spagna, Francia, Germania) e pare esser in Europa il primo vero tentativo di reazione nei confronti della condivisione di opere protette con sistemi P2P da parte dei titolari di diritti connessi al diritto d’autore.

Le problematiche ad essa sottese sono molteplici: oltre le ormai consuete tensioni legate ai difficili equilibri che le leggi sul Diritto d’Autore dovrebbero presidiare (titolarità ed esercizio del diritto dell’autore e del produttore da un lato e il diritto alla diffusione e fruizione delle opere dell’ingegno e della cultura dall’altro) la vicenda rende concreti alcuni timori da più parti sollevati circa l’attuale deriva della normativa volta ormai a tutelare più degli Autori, i titolari di diritti connessi.

Tali diritti (meramente) commerciali, che “connessi” son solo più di nome, sono talvolta in contrasto con gli interessi degli Autori stessi ed hanno assunto nelle attuali normative una valenza preponderante che snatura ed infrange gli equilibri originari del Diritto d’Autore.³

In questa deviata prospettiva, la concreta applicazione della 2004/48/CE - cd. direttiva enforcement 1- come emerge sul piano Europeo con il caso LOGISTEP AG, evidenzia i rischi di una privatizzazione dell’indagine e la intollerabile forzatura ad azioni cautelari a fini meramente investigativi o, peggio, lucrativi.

Ed allora, nella cosidetta società della tecnica e dell’informazione, la tanto criticata legge sulla protezione dei dati personali si erge come valido e necessario baluardo a tutela dei cittadini, siano essi fruitori o meno di opere dell’ingegno (ma in verità non è ipotizzabile oggi non fruire di opere tutelate!).

Mai come nel caso ormai noto come “Peppermint” è emersa in concreto l’importanza e la necessità di efficaci norme a tutela della riservatezza ed una rigorosa vigilanza da parte dell’Autorità Garante.

L’Ordinanza in commento, di segno contrario ai criticabili ed errati precedenti del medesimo Tribunale di Roma, trova ragione e forza nella lodevole iniziativa dell’Autorità Garante per la protezione dei dati personali che si è costituita, per la prima volta, nel giudizio in commento con intervento ex art. 152, D.Lgs. 196/2003.

Le argomentazioni addotte dal Tribunale per motivare il rigetto dell’istanza confermano e danno ampio e pieno riscontro alle osservazioni giuridiche da più parti sollevate dopo l’emissione delle precedenti pronunce.

Secondo il Tribunale di Roma la questione assorbente e decisiva per il giudizio di infondatezza del ricorso presentato dalla Peppermint e dalla Techland si risolve nella corretta interpretazione dell’art. 156 bis, L. 633/1941 (introdotto dalla direttiva comunitaria 2004/48/CE - cd. direttiva enforcement 1) laddove prevede che il titolare di un diritto d’autore possa chiedere all’autorità giudiziaria, anche nei confronti di soggetti diversi dagli autori della violazione, un ordine di esibizione dei dati e delle informazioni necessarie all’individuazione degli autori delle violazioni stesse.

A parere del Giudicante l’art. 156 bis non può trovare applicazione con riferimento alla richiesta di esibizione di dati che attengono a comunicazioni elettroniche, né di dati di traffico da queste prodotte in quanto la tutela della segretezza (rectius della riservatezza) delle comunicazioni elettroniche e telematiche tra privati, quale valore fondamentale della persona, prevale, nel giudizio di bilanciamento dei due diritti, sulla tutela del diritto d’autore.

La tesi è semplice, chiara ed assolutamente incontestabile: il sistema normativa interno e comunitario che disciplina la tutela della riservatezza delle comunicazioni tra privati impone il divieto assoluto di trattamento di tali dati e dunque la loro acquisizione, comunicazione e utilizzo.

A livello comunitario, il riferimento normativo è dato dagli artt. 8 e 9 della direttiva 2004/48/CE in materia di proprietà intellettuale i quali fanno salva, nella previsione di adozione da parte dei legislatori interni di norme che contemplino la possibilità di ottenere informazioni sulle opere violate dall’autore o da terzi che abbiano fornito servizi utilizzati per commettere la violazione stessa, la normativa relativa alla protezione dei dati personali.

A livello nazionale, invece, a parere del Tribunale la tutela delle comunicazioni tra privati assurge a rango costituzionale ai sensi degli artt. 2 e 15 Cost. ed il divieto assoluto di trattamento può essere derogato solo per la tutela di valori di rango superiore e che attengano alla difesa di interessi della collettività ovvero alla protezione di sistemi informatici.

L’unica eccezione al divieto di trattamento è infatti rappresentata, secondo il Giudicante, dall’accertamento, dalla prevenzione e dalla repressione di illeciti penali di particolare gravità - art. 407, 2 co., lett.a), c.p.p. - e quelli in danno di sistemi informatici o telematici.

Ad onor del vero, quest’ultimo passaggio risulta un po’ farraginoso in quanto il Tribunale non fa riferimento esplicito ad alcuna determinata disposizione del codice per la protezione dei dati personali legislativa cosicché la logica tecnico-giuridica perde di pregnanza.

Ritengono gli scriventi che sarebbe stato opportuno il richiamo espresso al disposto dell’art. 122, D.Lgs. 196/2003 ed un’analisi più articolata del disposto dell’art. 132, implicitamente citato.

L’art. 122, D.Lgs. 196/2003, infatti, vieta espressamente l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente stesso.

Sebbene il disposto dell’art. 122 non sia sanzionato penalmente va detto che ai sensi dell’art. 11, 2° co., del codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali non possono essere utilizzati ed il danno anche non patrimoniale che ne deriva è risarcibile ai sensi dell’art. 15, D.Lgs. 196/2003.

L’unica deroga al disposto dell’art. 122 è stata introdotta dall’art.7, 4° co., D.L. 144/2005, recante misure urgenti per il contrasto al terrorismo, il quale prevede a carico dei titolari e dei gestori di pubblici esercizi o circoli privati misure ad hoc per monitorare ed archiviare le operazioni effettuate dagli utenti nonché misure specifiche per la preventiva acquisizione dei dati anagrafici (a mezzo documento di identità) dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad internet con tecnologia senza fili.

Detta deroga, a ben guardare, non solo non scalfisce l’applicabilità del disposto di cui all’art.122 al caso Peppermint, ma, anzi, rafforza la correttezza dell’interpretazione data alla prevalenza del diritto alla riservatezza su diritti di rango inferiore.

Quanto all’art. 132, D.Lgs. 196/2003 (il cui titolo “Conservazione di dati di traffico per altre finalità” è di per sé sintomatico della limitata utilizzabilità di tali dati) pare doveroso sottolineare come la regola sia che i dati di traffico telefonico e telematico possono essere conservati (e dunque esibiti) solo per finalità di accertamento e repressione di reati rispettivamente per ventiquattro e sei mesi, mentre l’ulteriore conservazione per ventiquattro o sei mesi rappresenta un’eccezione ed è motivata da esclusive finalità di accertamento e repressione dei reati di cui all’art. 407, 2° co., lett.a), c.p.p. e dei delitti in danno di sistemi informatici o telematici.

Nel caso di specie, dunque, la richiesta ex art. 156 bis, L. 633/1941 finalizzata alla salvaguardia del diritto d’autore di una casa discografica non può costituire una valida ragione per derogare al divieto di trattamento imposto dal titolo X del codice privacy.

L’ordinanza in commento spende poi alcuni passaggi per motivare l’inapplicabilità al caso di specie della scriminante di cui all’art. 24, lett.f), D.Lgs. 196/2003 (che prevede il trattamento senza il consenso dell’interessato allorquando il dato è utilizzato per far valere un diritto in giudizio), invocata dal ricorrente per legittimare la propria richiesta, nonché il trattamento effettuato senza il consenso dell’interessato.

A tal proposito, correttamente il Tribunale afferma come l’art. 24 possa trovare applicazione solo se il dato personale trattato senza il consenso dell’interessato sia previamente in possesso di chi intende utilizzarlo per far valere un diritto e solo se il possesso del dato sia legittimo.

Nel caso di specie, osserva il Tribunale di Roma, le ricorrenti non solo non sono in possesso del dato personale che vorrebbero utilizzare per tutelare il loro diritto d’autore sui file oggetto di file sharing, ma anzi propongono ricorso proprio per acquisire i dati da utilizzare in un eventuale futuro giudizio e quindi “si tratta di un ambito logicamente e temporalmente anteriore rispetto all’ipotesi contemplata dall’art.24”.

Inoltre, il possesso dei dati parziali dei presunti responsabili della violazione dell’art. 16, L. 633/1941, ovverosia l’indirizzo IP ed il codice GUID, che le ricorrenti adducono come “seri elementi” indiziari della violazione del diritto d’autore, sono stati acquisiti illecitamente in violazione degli artt. 37 (mancata notificazione al Garante), 13 e 23 (assenza di informativa e consenso degli interessati) del codice privacy e pertanto non sono utilizzabili in giudizio ai sensi dell’art.11, D.Lgs. 196/2003.

Le argomentazione del Tribunale di Roma sicuramente saranno di conforto a quei 4.000 cittadini che dopo la ricezione delle raccomandate simil-estorsive basate sulle precedenti ordinanze romane avevano denunciato il grave rischio sotteso ad un’interpretazione scorretta dell’art. 156 bis, L. 633/1941 ed al conseguente squarcio prodotto nel tessuto ordinamentale laddove fosse concesso a soggetti privati di derogare per fini personali (e forse solo di lucro!) a regole fondamentali poste a protezione dell’intera collettività.

Non a caso il Tribunale di Roma cita la recente sentenza della Corte Costituzionale n. 372/2006, con cui la Consulta ha sancito il principio secondo cui l’art. 132, D.Lgs. 196/2003 deve considerarsi costituzionalmente legittimo in quanto è insindacabile la scelta legislativa di derogare alla tutela della riservatezza in materia di dati del traffico telefonico e telematico solo per esigenze di tutela di beni della collettività prevalenti (minaccia di gravi illeciti penali) in considerazione della necessità di contemperamento tra diritto alla riservatezza ed altri diritti.

Ma, come si accennava inizialmente, quel che più conforta, non solo i cittadini ma anche gli operatori del diritto, è l’intervento nel giudizio in esame del Garante per la protezione del dati personali.

La sua assenza nei precedenti procedimenti aveva certamente influito negativamente, quanto meno sulla corretta interpretazione della normativa privacy.

La decisione di costituirsi nel presente ricorso è dunque da salutare con favore sia in considerazione delle ampiamente condivisibili ed attente ragioni addotte a sostegno dell’intervento, sia in prospettiva, atteso che l’Autorità Garante sarà chiamata ad emettere a breve il suo giudizio sui reclami ad essa presentati in relazione al caso Peppermint.

La necessità di una pronta decisione in ordine ai predetti reclami è quanto mai indispensabile alla luce dei recenti sviluppi delle iniziative intraprese dalla Peppermint.

È infatti notizia dei primi di luglio l’invio da parte dello studio legale Mahlknecht & Rottensteiner di Bolzano, in nome e per conto della Peppermint, di una seconda tornata di raccomandate ad altri utenti italiani di sistemi P2P ritenuti responsabili - pare opportuno ribadire, sulla scorta della sola intestazione della linea telefonica utilizzata per la connessione in rete, con buona pace del divieto di responsabilità per fatto altrui - di sharing illegale⁴.

Ed ancora.

Alcuni degli utenti colpiti dalle prime raccomandate sono stati raggiunti, nei mesi scorsi, da un secondo sollecito in cui la casa discografica ribadisce i termini della c.d. proposta transattiva (sottoscrizione di una dichiarazione di astensione dalla condivisione di tutti i file musicali di artisti di cui la casa detiene i diritti di sfruttamento del diritto d’autore e versamento, a titolo di parziale risarcimento per danni, spese legali e spese tecniche sostenute per l’individuazione una somma forfetaria, determinata in euro 380,00 … l’aumento di 50,00 euro deve evidentemente ritenersi giustificata dal costo della seconda lettere, peraltro inviata con posta ordinaria, sic!) sotto minaccia di azione legale.

Vista le pervicacia della Peppermint, va da sé che l’accoglimento delle richieste avanzate dai soggetti che hanno presentato reclamo all’Autorità Garante pare l’unico strumento idoneo a fermare il corso sfrenato delle azioni legali intentate contro i cittadini italiani.

Siamo certi che il Garante provvederà al più presto alla sua decisione in senso positivo per gli utenti interessati dall’incresciosa vicenda, conformemente a quanto dichiarato agli organi di stampa dal Segretario generale⁵ nonché dalle argomentazioni addotte dall’avvocatura erariale nell’intervento per conto del Garante nell’ordinanza in commento.

In ultimo, riteniamo opportuno segnalare, a conforto dell’impostazione resa sino ad ora dall’Autorità Garante, la recente attenzione al concetto di dato personale manifestata dai Garanti europei nel parere 4/2007 del 20 giugno 2007, adottato dal Gruppo di lavoro - Articolo 29, nella parte in cui sancisce che informazioni apparentemente frammentarie costituiscono dato personale nella misura in cui il titolare le ha raccolte con l’intenzione di utilizzarle per identificare una determinata persona, facendo espresso riferimento ai titolari di diritti d’autore che raccolgono dati al fine di perseguire utenti di computer per violazioni della proprietà intellettuale⁶.

Del resto, dopo queste parole pronunciate dal prof. Pizzetti nella Relazione annuale lo scorso 12 luglio, non si può non esser ottimisti:

“È certamente vero che non c'è libertà senza sicurezza, ma è ancora più vero che non c'è sicurezza che valga la perdita di ogni libertà. Ripetiamo che la protezione dati non è e non sarà mai "antagonista" al bisogno di sicurezza, ma riaffermiamo che essa è un elemento essenziale di un sistema democratico di tutele⁷”.

E ci sia consentito rimarcare come, nei pretesi diritti dei titolari di “diritti connessi” al Diritto d’Autore, vi è ben poca “sicurezza” e vi è molto privilegio: se il diritto costituzionalmente garantito alla riservatezza dovesse ceder ancora a fronte dei particolari interessi economici di una piccola casa discografica, bhè, crediamo sarebbe davvero difficile parlare di tutela della privacy e dunque di libertà.

(Altalex, 12 settembre 2007. Nota di Carlo Blengino e Monica Alessia Senor)

________________