Divieto: Internet - Caso Peppermint: illecito ''spiare'' gli utenti che scambiano file musicali e giochi

[v. Comunicatistampa 17 luglio 2007, 18 maggio 2007 e 13 marzo 2008]

INTERNET - CASOPEPPERMINT: ILLECITO ''SPIARE'' GLI UTENTI CHE SCAMBIANO FILE MUSICALI E GIOCHI

GARANTE PER LA PROTEZIONEDEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTE le recenti ordinanze con le qualiil Tribunale di Roma –come richiesto da questa Autorità – harigettato alcuni ricorsi con i quali le società Peppermint Jam Records GmbH (diseguito, Peppermint), casa discografica con sede in Germania e Techland sp. z.o.o. (di seguito, Techland), società che elabora e commercializza giochielettronici avente sede in Polonia, intendevano ottenere da taluni fornitori diservizi di comunicazione elettronica la comunicazione delle generalità disoggetti ritenuti responsabili di aver scambiato file protetti dal diritto d'autore tramite reti peerto-peer;

RILEVATO che tali ricorsi si basavanosull'attività svolta per conto e su autorizzazione delle predette società daLogistep AG (di seguito, Logistep), società svizzera che, attraversoun'attività di monitoraggio delle reti peer-to-peer effettuata tramite un software proprietario, aveva individuato numerosi indirizziIp i cui titolari erano stati considerati responsabili della predetta condottaillecita;

VISTA la nota del 25 maggio 2007 con laquale l'Autorità ha avviato accertamenti volti a verificare la liceità e lacorrettezza dei trattamenti di dati personali svolti dalle predette società,alle quali è stato quindi chiesto di comunicare ogni informazione edocumentazione utile per valutare le modalità con le quali, anche avvalendosidell'attività di altri soggetti, sono stati concretamente raccolti e utilizzatii dati personali di utenti identificati o identificabili; rilevato che con talenota si è chiesta, altresì, collaborazione e cooperazione alle autorità diprotezione dei dati personali dei Paesi nei quali risultano stabilite lesocietà medesime (Repubblica federale tedesca, Polonia e Svizzera);

VISTE le note del 18 giugno e del 5luglio 2007 con le quali l'avv. Otto Mahlknecht, che ha curato gli interessidelle società Peppermint e Techland, nel richiamare le deduzioni formulate neidiversi procedimenti giudiziari, ha fornito altri elementi conoscitivi sulfunzionamento del software utilizzato da Logistep nell'attività svolta suincarico delle altre due società, allegando la perizia di un esperto delsettore;

VISTA la nota del 19 giugno 2007 con laquale Logistep ha fornito altre informazioni in merito alla propria attività eha comunicato l'avvio di un'attività di collaborazione con l'autorità svizzeradi protezione dati finalizzata a verificare la liceità dell'attività svolta;

VISTA la comunicazione del 20 giugno 2007con la quale l'autorità polacca per la protezione dei dati ha rappresentato diaver effettuato un accertamento ispettivo e di aver rilevato che Techland nonha svolto direttamente le attività necessarie per individuare le persone chescambiano illecitamente su reti peer-to-peer il software da essa sviluppato, e che tali attività sono state svolte, su propriaautorizzazione, da Logistep, nonché da Logistep Polska, e curate poi dallostudio legale italiano dell'avv. Otto Mahlknecht;

VISTA la nota del 22 giugno 2007dell'autorità per la protezione dei dati personali per la Bassa Sassonia;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, "Codice") e, in particolare, gli artt. 11, 13 e 122 delCodice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. Oggetto delprovvedimento Il presente provvedimento ha per oggetto la liceità ecorrettezza del trattamento di dati personali relativi a utenti identificabilioperanti su reti peer-to-peer (diseguito, anche "p2p") che è stato effettuato a cura dapprima diLogistep AG e Logistep Polska su autorizzazione di Peppermint e Techland e,poi, presso il predetto studio legale italiano. Tale trattamento è avvenuto indue fasi:

a) la prima, è consistita nella raccoltae nell'elaborazione automatizzata, anche nell'ambito di banche dati, diinnumerevoli informazioni di carattere personale estratte tramite retipeer-to-peer per mezzo di un software denominato "file sharing monitor" (di seguito, fsm) utilizzato da Logistep; b) la seconda, si èbasata sulla richiesta all'autorità giudiziaria italiana in sede civile diordinare a taluni fornitori di servizi di comunicazione elettronica di rivelarele generalità degli intestatari degli interessati. A seguito di alcune primepronunce del Tribunale di Roma che hanno provveduto in tal senso (cfr. causa Peppermint c/ Wind telecomunicazioniS.p.A., ordinanza del 18 agosto 2006 confermata, in sede di reclamo cautelaredella Wind, con ordinanza del 22 settembre 2006 e, attualmente, in attesa cheil giudice determini le modalità di attuazione dell'ordinanza di accoglimento;causa Peppermint c/Telecom Italia S.p.A., ordinanza del 28/29 novembre 2006,riformata in sede di reclamo della Peppermint con ordinanza del 9 febbraio 2007), il predetto legale ha inviato diverse centinaia dilettere a persone individuate quali intestatari di una linea di collegamento aInternet. Con tali lettere si è contestata la violazione dei diritti derivantidalla produzione di fonogrammi e si è proposta una risoluzione bonaria,alternativa anche alla denuncia in sede penale, basata sul rispetto di alcunecondizioni comprensive di un versamento di 330 euro.

Il presente provvedimento non riguarda,invece, la connessa questione oggetto più specificamente delle predettecontroversie instaurate presso il Tribunale di Roma nelle quali si è costituitoanche il Garante e in cui, a modifica del primo orientamento giurisprudenzialesopramenzionato, il Tribunale ha statuito che i fornitori di servizi dicomunicazione elettronica, allo stato della legislazione vigente, non possonocomunicare in sede giurisdizionale civile a Peppermint e Techland i nominatividegli interessati ritenuti responsabili di violazioni del diritto d'autore inrete. Ciò, stante la specifica disciplina della conservazione dei dati ditraffico, prevista solo per finalità di accertamento e repressione di reati(art. 132 del Codice; cfr. causaPeppermint e Techland c/Wind Telecomunicazioni S.p.A.,ordinanza 14 luglio 2007;causa Peppermint e Techland c/ Telecom Italia S.p.A.,ordinanza 14 luglio 2007;causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza 26 ottobre 2007; cfr., anche, comunicato stampa del 17 luglio 2007).

Tale profilo della comunicazione dei datidi traffico è stato esaminato, da ultimo, dalla Corte di giustizia delleComunità europee la quale si è pronunciata su una questione per molti aspettisimile (sentenza 29 gennaio 2008, pronunciata nella causa C-275/06 Promusicaec/ Telefonica de Espana Sau).

La Corte ha confermato che il dirittocomunitario consente agli Stati membri di circoscrivere all'ambito delleindagini penali o della tutela della pubblica sicurezza e della difesa nazionale-a esclusione, quindi, dei processi civili- il dovere di conservare e mettere adisposizione i dati sulle connessioni e il traffico generati dallecomunicazioni effettuate durante la prestazione di un servizio della societàdell'informazione. La Corte ha rilevato che anche i dati di traffico conservatiper finalità di fatturazione non possono essere utilizzati in "controversiediverse da quelle insorgenti tra i fornitori e gli utilizzatori, relative aimotivi della memorizzazione dei dati avvenuta per attività previste dalledisposizioni [dell'art. 6 della direttiva 2002/58/Ce]" (cfr.art. 123 del Codice); da ciò, ha escluso la possibilità che tali dati potesseroessere messi a disposizione per controversie civili relative ai diritti diproprietà intellettuale (cfr. punto 48 della sentenza; artt. 15, n. 2, e 18della direttiva 2000/31/Ce relativa a taluni aspetti giuridici dei servizidella Società dell'informazione, in particolare il commercio elettronico, nelmercato interno; artt. 8, nn. 1 e 2 direttiva 2001/29/Ce sull'armonizzazione ditaluni aspetti del diritto d'autore e dei diritti connessi nella societàdell'informazione; art. 8 direttiva 2004/48/Ce sul rispetto dei diritti diproprietà intellettuale; artt. 17, n. 2 e 47 Carta dei diritti fondamentalidell'Unione europea).

2. Risultanze istruttorie efunzionamento del software fsm Nelle centinaia di lettere inviate a utenti inItalia, il legale che ha agito per conto di Peppermint ha dichiarato che sullabase dei risultati acquisiti grazie al predetto software "antipirateria" appositamente realizzato, ritenuto di assolutaaffidabilità e attendibilità, è stato possibile accertare che:

0. ciascun destinatario dellelettere aveva violato il diritto d'autore a partire dalla linea di reteInternet risultante nella rispettiva titolarità, mettendo indebitamente filemusicali a disposizione di terzi;

0. ciò, risultava avvenuto medianteun software di condivisionecontemporanea di file (c.d. peer-to-peer) che altri utenti risultavano aver utilizzato per connettersi al p.c.dei destinatari delle lettere e per scaricare i file musicali da una cartella aquesto dedicata.

Lo scambio di file via Internet rientranella nozione di "comunicazione" anche quando ha per oggetto contenuti protetti dal diritto d'autore,tenuto conto che la nozione stessa include lo "scambio o latrasmissione di informazioni", "tramiteun servizio di comunicazione elettronica accessibile al pubblico", tra "un numero finito di soggetti" (cfr.art. 2, lettera d), primo periodo, della direttiva 2002/58/CE e art. 4, comma1, lett. l) del Codice). Quest'ultimo riferimento tende a distinguere l'ambitodelle "comunicazioni private" da quello delle "comunicazioni al pubblico". La circostanza che il sistema peer-to-peer consental'accesso a un numero potenzialmente elevato di utenti non rende "infinito", o del tutto indeterminabile, il numero dei soggettidella comunicazione. Quest'ultima, è infatti rivolta non a una plateaindistinta di utenti, ma a soggetti delimitati che possono essere identificati.Manca, tra l'altro, la simultaneità e l'unicità della trasmissione che sonocaratteristiche qualificanti di una "comunicazione al pubblico" (come è nel caso del "servizio diradiodiffusione" -c.d. broadcasting-, espressamente escluso dall'ambito applicativo della nozione dicomunicazione elettronica: cfr.,anche, art. 4, comma 2, lett. a) del Codice).

L'attività di ricognizione condotta daLogistep risulta essersi focalizzata su due importanti reti p2p, GNUtella eeDonkey e utilizzando il sistema software fsm, sviluppatointegrando e modificando software liberamente disponibili sulla rete per collegarsia reti p2p.

Il software fsmconsente:

a) usuali operazioni effettuabili tramitei comuni client, eccettuata lacondivisione di fileeventualmente scaricati dalla rete; b) l'archiviazione a scopo didocumentazione di tutte le informazioni usualmente caratterizzate da "volatilità", perché non necessarie una volta che la trasmissionedei file è avvenuta; c) dicorrelare le attività sulle reti p2p di un determinato utente al variaredell'indirizzo Ip assunto, nonché del provider utilizzato (il clock del programma risulta sincronizzato con una sorgenteesterna, mentre viene tenuta traccia dell'identificativo Guid, generato al momento dell'installazione dei client).

In sostanza, il software fsmpermette di tenere traccia della disponibilità in rete di un certo "contenuto"; di verificarne l'effettiva possibilità diacquisizione, effettuandone lo scaricamento (download), ovvero la copia in rete dalle aree di condivisionedegli utenti che ospitano quel contenuto verso i propri computer; diverificarne la segnatura digitale con algoritmo SHA1 o MD5 (in dipendenza dalprotocollo p2p utilizzato); di controllarne la diffusione, verificandol'esistenza di altre condivisioni presuntivamente riferibili a una pregressaattività di "download"(sul presupposto che la quasi totalità degli utenti che condividono unospecifico contenuto lo abbiano a loro volta acquisito da un'altra fonte nellarete, tranne eventualmente il soggetto che originariamente lo abbia messo perla prima volta in condivisione, con una specifica segnatura digitale).

In particolare, il sistema fsm consente la raccolta dei seguenti dati: indirizzi Ipdell'offerente, il nome e il valore Hash del file, la misure del file, l'user name, il Guid, la data e l'ora del download.

In altre parole, come emerge dalla stessaperizia prodotta dall'avv. Mahlknecht, il software fsmaccerta da chi, e quando, viene offerto quale file per un downloading e da chi, quando e per quanto tempo vieneeffettivamente copiato tale file;riconosce i tentativi dei partecipanti di sistemi di condivisione file di modificare il loro indirizzo Ip; organizza taliinformazioni in una banca dati.

Anche se non risulta in atti che ilsistema fsm svolga attivitàintrusive o installazioni di software o di altri componenti sul terminale dell'utente che partecipa al filesharing, e sebbene non risultinoallo stato significativi elementi di diversità nelle modalità di funzionamentodi tale software rispetto ainormali client che agiscono sullereti p2p, il trattamento svolto da Logistep su incarico di Peppermint eTechland non può comunque ritenersi lecito.

3. Profili di illiceità e non correttezzadel trattamento Il trattamento in questione è stato inizialmenteeffettuato a partire da un Paese (la Svizzera), dotata di una legge diprotezione dei dati e che ha ratificato la Convenzione di Strasburgo n.108/1981, e la cui autorità di protezione dei dati ne ha già dichiarato, perquesta parte, l'illiceità.

La Préposé fédéral à la protection desdonne et à la transparence (PFPDT),con una recente pronuncia adottata all'esito di un procedimento avviato anchesu impulso di questa Autorità, ha ritenuto che il trattamento svolto daLogistep su incarico di Peppermint e Techland e che ha riguardato ancheinformazioni memorizzate su p.c. di utenti italiani, ha violato alcuni princìpifondamentali della legge federale sulla protezione dei dati personali(decisione del 9 gennaio 2008).

E' risultato in particolare violato ilprincipio di liceità (in ragione del fatto che la raccolta dei dati è stataeffettuata in mancanza di una base legale esplicita). Si è ritenuto in secondoluogo violato il principio di finalità (in quanto la registrazione sistematicadei dati degli utenti ha perseguito scopi diversi da quelli tipici delle reti peer-to-peer). Non sono stati, altresì, rispettati i princìpi dibuona fede e trasparenza, in quanto la raccolta dei dati è avvenuta senza chegli interessati potessero esserne consapevoli (sia per le circostanze nellequali la raccolta è avvenuta, sia perché non informati) e i dati possono esserestati raccolti all'insaputa di abbonati che non sono, necessariamente, isoggetti coinvolti nello scambio dei dati. Infine, è risultato violato ilprincipio di proporzionalità (in quanto il diritto alla segretezza dellecomunicazioni è risultato limitabile solo nell'ambito di un bilanciamento conun diritto di pari grado e, quindi, allo stato, non per l'esercizio diun'azione civile).

Non risultano in atti elementi piùspecifici di valutazione delle modalità di trattamento di dati che è statoeffettuato a cura di Logistep Polska, il quale, qualora si sia svolto con lemodalità sopraindicate, si è posto anch'esso in violazione dei princìpi ditrasparenza, finalità, correttezza e buona fede richiamati sia dallaConvenzione di Strasburgo, sia dalla direttiva 95/46/Ce e dalla stessadisciplina nazionale di protezione dati (cfr. art. 5 Conv. n. 108/1981 cit., art. 6 direttiva95/46/Ce).

I trattamenti in esame, effettuati inmodo massivo e capillare per un periodo di tempo prolungato e nei riguardi diun numero elevato di soggetti, hanno consentito di tenere traccia analiticadelle operazioni compiute da innumerevoli, singoli utenti relativamente aspecifici contenuti protetti dal diritto d'autore.

Per le modalità con le quali la raccoltadei dati è stata svolta, si è configurata un'attività di monitoraggio vietata asoggetti privati dalla direttiva 2002/58/Ce (art. 5; cfr. art. 122 del Codice).

Le reti p2p sono finalizzate allo scambiofra utenti di dati e file perscopi sostanzialmente personali, mentre il software fsm"non è destinato allo scambio di dati, ma al monitoraggio ed alla ricercadi dati, che utenti di reti P2P mettono a disposizione a terzi" (cfr. nota del 5 luglio 2007 dell'Avv. Otto Mahlknecht).I dati che gli utenti mettono in rete possono essere utilizzati per le finalitàper le quali tale pubblicazione avviene (cfr., fra gli altri, Provv. del 14 giugno 2007, doc. web n. 1424068). L'utilizzodei dati dell'utente delle reti peer-to-peer può, quindi, avvenire per le finalità sue proprie enon già, in modo non trasparente, per scopi ulteriori, quali quelli perseguitida Logistep, Peppermint e Techland.

Il trattamento è risultato viziato anchesotto il profilo della trasparenza e della correttezza, posto che non è statafornita alcuna informativa preliminare agli utenti. Dalla descrizione resadalle società sul funzionamento del software fsm si è potuto rilevare che, mentre gli indirizzi Ipsono stati acquisiti da un terzo rispetto agli utenti (il tracker), gli altri dati (ossia, i file offerti in condivisione, data e ora del download) sono stati raccolti direttamente presso gliinteressati.

Il Tribunale di Roma ha riconosciuto, pertali informazioni, la natura di "dati personali" relativi a utenti identificabili i quali dovevanoessere informati di tale ulteriore e inatteso trattamento (v. anche Pareredel Gruppo Art. 29 del 18 gennaio 2005 in materia di diritti di proprietàintellettuale, nel quale è stato rilevato che nessun dato personale può essereraccolto senza che l'interessato sia correttamente e preventivamente informato,in maniera trasparente, sulle eventuali modalità di controllo e sull'identitàdel soggetto che lo effettua, prima che il trattamento abbia inizio e prima chel'interessato fornisca i dati personali attraverso il download ).

4. Conclusioni Come premesso, unaseconda fase del trattamento dei dati connesso all'invio delle lettere èavvenuta nel territorio dello Stato, utilizzando dati personali relativi a personeidentificabili e raccolti illecitamente.

Si rende pertanto necessario, adefinizione della complessa istruttoria preliminare, provvedere in ordineall'ulteriore utilizzazione di tali dati sul territorio dello Stato. Ciò, senzache occorra proseguire gli accertamenti per verificare anche se, e in qualemisura, la disciplina italiana di protezione dei dati trovi in tutto o in parteapplicazione anche alla prima fase di raccolta automatizzata dei dati, allaluce della disposizione normativa secondo cui la legge italiana si applica aitrattamenti effettuati da soggetti stabiliti nel territorio di un Paese nonappartenente all'Unione europea il quale impieghi, per il trattamento,strumenti situati nel territorio dello Stato (quali i p.c. degli utenti italiani, dai quali Logistep hachiaramente tratto gli indirizzi Ip: art. 5 del Codice).

In ragione delle predette risultanze nonpossono che confermarsi le valutazioni di illiceità e non correttezza giàtratteggiate nelle memorie di costituzione in giudizio nelle controversiedinanzi al Tribunale di Roma –e note alle controparti –, econseguentemente disporsi il divieto nei confronti delle predette tre societàdi ulteriore utilizzazione dei dati personali raccolti illecitamente, nonché laloro cancellazione entro il termine del 31 marzo 2008.

TUTTO CIÒ PREMESSO ILGARANTE

ai sensi degli artt. 143, comma 1, lett.c) e 154, comma 1, lett. d) del Codice dispone, nei termini di cui inmotivazione, nei confronti di Peppermint Jam Records GmbH, Techland sp. z. o.o.e Logistep AG, il divieto dell'ulteriore trattamento dei dati personalirelativo a soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d'autore tramite reti peer-to-peer e ne dispone la cancellazione entro il termine del31 marzo 2008.

Roma, 28 febbraio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli