Copyright, come identificare gli autori delle violazioni nel file-sharing secondo la Corte di Giustizia UE - Agenda Digitale

la sentenza

Copyright, come identificare gli autori delle violazioni nel file-sharing secondo la Corte di Giustizia UE

Risolte dalla Corte di Strasburgo quattro delle questioni giuridiche più complesse e articolate che, in tema di discovery dei dati degli utenti delle piattaforme di file-sharing, impegnano da tempo i magistrati di molti Paesi europei, fra cui l’Italia. Problemi di privacy e di tutela del diritto d’autore a confronto

15 Lug 2021
Luciano Daffarra

C-Lex Studio Legale

Nella causa C-597/19[1], intervenuta fra il gestore di diritti d’autore Mircom[2] contro il service provider Telenet, la Corte di Strasburgo, con la sentenza del 17 giugno 2021 ha affrontato e, almeno parzialmente, ha risolto alcune delle questioni giuridiche più complesse e articolate che da numerosi anni impegnano i magistrati di molti Paesi europei, fra cui l’Italia.

I temi chiave

Direttiva copyright in Italia, ecco i punti che il Governo dovrà decidere (presto)

Il tema centrale della vertenza è quello della compatibilità e del successivo bilanciamento fra le norme che contemplano l’emissione di un ordine del giudice alla parte convenuta (in questo caso, il fornitore di servizi internet Telenet) di consegnare alla parte danneggiata gli elementi atti all’identificazione dei soggetti implicati nella produzione e nella distribuzione dei servizi che costituiscono violazione dei diritti d’autore (la cosiddetta “discovery”). Questa norma è stata introdotta nel sistema giuridico comunitario attraverso la Direttiva 2004/48/CE[3] (Art. 8 – Diritto di informazione) ed è presente nel nostro ordinamento agli artt. 156-bis e 156-ter Legge Autore[4], introdotti con l’Art. 3 del D. Lgsl. 140/2006.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Questa decisione della Corte di Giustizia dice molto di più di quanto non si ricavi dalle risposte da essa fornite alle quattro questioni sottoposte alla sua giurisdizione nel rinvio pregiudiziale fatto dal tribunale di Anversa in Belgio. Se, invero, i fatti essenziali della causa da cui è originata questo giudizio sono chiari, riguardando la richiesta rivolta da Mircom al tribunale belga di identificare i dati personali degli utenti che avevano utilizzato il service provider Telenet per svolgere attività di P2P[5] delle opere audiovisive di cui la ricorrente deteneva i diritti, molto più difficile è stato tracciare il perimetro dei diversi diritti e dei numerosi provvedimenti che la Corte ha dapprima elencato e illustrato minuziosamente e poi ha posto a confronto in un articolato patchwork. In tale ricostruzione, un ruolo importante ha svolto anche l’Avvocato Generale Maciej Spuznar, il quale ha depositato un parere che è stato più volte richiamato dalla Corte sul thema decidendum.

La sentenza della Corte di Giustizia

Nel risolvere positivamente il primo quesito, riguardante la possibilità di sussumere nell’ambito degli Artt. 3(1) e 3(2) della Direttiva Infosoc (relativi al c.d. diritto di “comunicazione al pubblico”) le attività consistenti nel file-sharing di opere protette (nel caso trattato, film), sia che i file che le riproducano vengano messi a disposizione degli utenti totalmente o solo parzialmente attraverso la tecnologia BitTorrent, la Corte ha stabilito che l’atto di uploading dell’hash, di cui è composto il file nella sua interezza (“seeding”) non rappresenta una parte dell’opera, ma una parte del file che la riproduce (par. 43 della sentenza).

Da questo corollario discende che ciascun utente che utilizza il programma P2P può ricostruire il file originale con provenienza dagli hash presenti nei PC degli altri utenti che prendono parte allo stesso processo di Swarm intelligence[6].

L’accesso a tali file può avvenire da qualunque luogo e nel momento prescelto da ogni utente, facendo quindi ricadere tale attività nella definizione di “comunicazione al pubblico”.[7] La sussistenza di atti di messa a disposizione del pubblico deriva – secondo i giudici di Strasburgo – anche dalla provata circostanza che nessuno degli utenti abbia disattivato la funzione “upload” dal software di file-sharing BitTorrent (Par. 49 sentenza) e dalla circostanza che i contenuti immessi nella rete di comunicazione elettronica sono diretti a un “pubblico nuovo” secondo la definizione fornita dalla giurisprudenza comunitaria (cfr. sul tema la nota 6).

La seconda questione pregiudiziale affrontata dalla Corte di Giustizia nel caso Mircom riguarda la sussistenza o meno in capo a un possessore dei diritti d’autore o di diritti connessi che non siano da esso stesso utilizzati, in quanto il medesimo trae esclusivamente profitto dalle violazioni commesse online attraverso la richiesta di danni formulata nei confronti dei soggetti che commettono atti di pirateria, del potere di avvalersi del diritto di chiedere all’intermediario di fornire informazioni (“Discovery” – Art. 8 Dir. Enforcement – Dir. 2004/48/CE) sui soggetti coinvolti negli illeciti e se il medesimo detentore dei diritti possa essere considerato come soggetto vittima di un “pregiudizio effettivo”, ai sensi dell’art. 13 della stessa Direttiva Enforcement) tanto da avere titolo al risarcimento del danno[8].

Direttiva Enforcement vs. Copyright Troll

Dagli atti processuali è emerso infatti che la società Mircom, di fatto ricopre il ruolo di titolare di limitati diritti connessi sulle opere oggetto di violazione dei diritti, in quanto essa li acquisisce al solo scopo di esigere il risarcimento dei danni e di trattenere per sé una quota del ricavo spettante agli effettivi proprietari dei beni immateriali (assumendo il ruolo di “copyright troll”)[9]. Per questa ragione, la Corte si interroga anche sul “se” questa impresa possa godere del diritto di informazione che la Direttiva Enforcement riserva ai titolari dei diritti.

In primo luogo, osserva il tribunale comunitario, i soggetti che possono agire in base alle disposizioni della Direttiva 2004/48/CE sono indicati al suo art. 4 e includono: a) i titolari dei diritti; b) gli altri soggetti autorizzati a farne uso, in particolare i licenziatari; c) le società di gestione dei diritti d’autore; d) le organizzazioni per la tutela dei diritti d’autore, a condizione che siano riconosciute nel ruolo di rappresentanza dei titolari dei diritti. A differenza dei veri e propri titolari dei diritti, per essere legittimati ad agire nei giudizi di cui ci occupiamo, gli altri soggetti devono vantare un “interesse diretto” nella difesa dei diritti violati, anche ai fini di farli valere in giudizio.

Nel nostro caso, sottolinea la Corte, la Mircom potrebbe ricadere nell’ambito delle figure di cui alle lett. b) o d) dell’Art. 4, anche se essa non sembra avere altra funzione che quella di cercare il ristoro per le violazioni dei diritti d’autore provocati dagli uploader alle sue rappresentate. Per tale ragione, l’eventuale appartenenza della ricorrente al novero dei soggetti di cui alla citata lett. b) dell’art. 4 della Direttiva Enforcement, dipende dall’interpretazione delle norme nazionali applicabili, che compete al giudice del merito.

Circa la sussistenza in capo a Mircom dell’”effettivo pregiudizio” che deve sussistere affinché un ente possa reclamare i danni derivanti dalle violazioni dei diritti d’autore, non vi è alcuna norma che escluda che un soggetto il quale operi per il ristoro dei danni derivanti da violazioni del Diritto d’Autore (D.A.) abbia la capacità di agire in giudizio per i fini della Direttiva, ciò sia perché le norme comunitarie impongono un elevato livello di protezione della proprietà intellettuale, sia in quanto la circostanza evidenziata dal tribunale remittente – secondo cui la Mircom cercherebbe di transigere le vertenze con gli utenti “uploader” attraverso la richiesta, a titolo di risarcimento del danno, della somma forfetaria di 500 euro – costituisce in molti Stati membri una condizione pregiudiziale all’avvio di un’azione legale nei confronti dei responsabili. Inoltre, osserva la Corte, accade di frequente che i soggetti che agiscono in giudizio per la violazione dei diritti d’autore, successivamente procedano attraverso i tribunali per ottenere le informazioni sui contraffattori operanti su scala commerciale, per agire nei confronti di questi ultimi per il risarcimento dei danni. Il diritto di informazione di cui all’art. 8 della Direttiva Enforcement – aggiunge la Corte – è null’altro che una forma di attuazione del diritto di proprietà sancito dall’Art. 47 della Carta dei Diritti Fondamentali dell’Unione Europea e dal suo omologo Art. 17.2 che riguarda specificamente la proprietà intellettuale.

In conseguenza di quanto precede, una volta valutata la posizione di Mircom,  avendo avuto riguardo al suo ruolo di soggetto legittimato o meno ad agire in giudizio per la tutela dei diritti d’autore violati, la richiesta di informazioni prevista dall’art. 8 della direttiva Enforcement dovrà rispondere ai requisiti della “ragionevolezza” e della “proporzionalità” (justified and proportionate), secondo i dettami della norma.

Per quanto concerne poi il significato del termine “profitto illecito” maturato dai soggetti che commettono le violazioni on-line, prescritto dall’Art. 6.2 e dall’Art. 13 della Dir. 2004/48/CE, la Corte di Giustizia ha osservato che esso deve intendersi riferito alle attività illecite condotte su scala commerciale, nella consapevolezza o quantomeno sulla base di una ragionevole sussistenza della conoscenza della violazione da parte dei soggetti agenti. Anche la valutazione della ricorrenza di queste condizioni va stabilita dal tribunale del merito.

Le altre due questioni pregiudiziali affrontate dalla Corte di Strasburgo

Affrontate e risolte le prime due questioni pregiudiziali oggetto della controversia in oggetto, la Corte di Strasburgo si è concentrata sul terzo e sul quarto quesito, riguardanti rispettivamente il bilanciamento degli interessi che deve sussistere fra la tutela del diritto d’autore e il diritto alla libertà di pensiero, da una parte, e il diritto alla vita privata e quello alla protezione dei dati personali, dall’altra.

In tale contesto, è stato anche domandato alla Corte se la registrazione sistematica e il trattamento degli indirizzi IP relativi agli utenti di un insieme di “nodi” (peer comprensivi dei seed) condivisi tramite PC attraverso il software BitTorrent e facenti parte di Swarm (vedi nota 5), possa essere considerata lecita sotto il profilo dell’art. 6(1)(f) del GDPR in quanto tale trattamento sia necessario per l’esercizio degli interessi legittimi del soggetto che raccoglie tali dati.

Per rispondere alla questione, nel cui ambito di valutazione confluiscono anche le prime due domande pregiudiziali sopra delineate, la Corte ha stabilito che – una volta che per Mircom si potessero ritenere applicabili le condizioni di cui a tali prime due domande pregiudiziali, cioè la legittimazione ad agire per le violazioni dei diritti d’autore commesse su scala commerciale online – la normativa comunitaria sulla data retention di cui alla disposizione sopra citata consente la possibilità di ottenere le informazioni relative ai soggetti che hanno violato i diritti d’autore del reclamante, in quanto il divieto di trattamento non può riguardare i dati personali che sono resi pubblici dalla persona interessata o che sono necessari per la tutela delle rivendicazioni legali[10].

Il requisito della “necessità” del trattamento dei dati degli utenti di cui si occupa la sentenza in argomento deriva dal fatto che l’identificazione dei titolari della connessione internet per il file-sharing, può avvenire solo attraverso la raccolta degli indirizzi IP e attraverso le informazioni di cui dispone l’intermediario, cioè il fornitore della connessione agli utenti della piattaforma di file-sharing.

Aggiunge a tale proposito il giudice comunitario che i dati trattati attraverso la raccolta degli indirizzi IP costituiscono, ad un tempo, dati personali e dati di traffico dovendosi valutare la liceità di questo duplice trattamento sia alla luce della Direttiva 2002/58/CE che ai sensi del GDPR[11].

Alla stregua di una comparazione delle norme esistenti in materia di riservatezza dei dati personali che debbono essere cancellati o resi anonimi quando utilizzati sulle reti di comunicazione elettronica ai sensi dell’Art. 15(1) e 6(1) della Direttiva 2002/58/CE, il giudice comunitario ha rilevato che l’Art. 15(1) della sopra citata Direttiva Privacy richiama l’Art. 13(1) della Direttiva 95/46/CE, il quale corrisponde all’Art. 23(1) del GDPR, norma che consente alle disposizioni degli Stati Membri di prevedere che il responsabile del trattamento possa essere tenuto a minori obblighi di riservatezza dei dati qualora ciò si renda necessario allo scopo di di garantire la protezione dei diritti di terzi e l’applicazione delle misure di tutela stabilite dalle norme civilistiche, così come previsto dalla sentenza Promusicae, che non ha mai escluso la facoltà per gli autori di ottenere la protezione del diritto alla proprietà delle opere secondo il dettato dell’Art. 15(1) della Direttiva 2002/58/CE[12].

Al fine di stabilire se la raccolta degli indirizzi IP degli utenti di un network di P2P per lo scambio abusivo di opere protette dal diritto d’autore possa essere legittima, vanno quindi valutati i fatti che stanno alla base di tale trattamento. Avuto riguardo ai soggetti che partecipano al file-sharing, dice la Corte, i dati oggetto di raccolta non includono né la data, né l’ora e neppure la durata di una certa comunicazione ovvero la sua frequenza. Tali dati non includono neppure informazioni sulla vita privata degli utenti. Gli unici dati personali che vengono chiesti, ai sensi dell’Art. 8 della Direttiva Enforcement, sono quelli di contatto degli utenti e cioè quelli che includono il loro nome e l’indirizzo postale. A tale stregua, l’interferenza che viene compiuta tramite la raccolta di tali dati non può essere considerata “seria” ai sensi della sentenza “Prokuratuur” del 2 marzo 2021 nel caso C-746/18[13].

Per tale ragione, pur non esistendo alcuna norma che vieti la possibilità per gli Stati Membri di imporre l’obbligo di rendere noti i dati personali di soggetti privati allo scopo di avviare azioni civili nei loro confronti per le violazioni commesse, d’altro lato non vi è alcuna previsione di legge che imponga agli Stati Membri di provvedere in tal senso. Tale obbligo non è fatto carico agli stati Membri neppure in base all’Art. 7(f) della Direttiva 95/46/CE e neanche dall’Art. 6(1) del GDPR.

Pertanto, un intermediario può essere obbligato a rendere noti i dati degli utenti di un network P2P abusivo, ai sensi dell’Art. 8 della direttiva Enforcement, solo qualora esista una disposizione di legge che limiti i diritti alla privacy ai sensi dell’art. 15(1) della Direttiva 2002/58/CE.

Sulla scorta delle riflessioni svolte dal tribunale comunitario, la risposta al terzo e quarto quesito pregiudiziale nella causa Mircom è del seguente tenore: in linea di principio le disposizioni delle direttive dell’UE non precludono né la registrazione sistematica da parte del titolare dei diritti o da parte di un suo valido delegato degli indirizzi IP degli utenti di un network di file-sharing abusivo, né la discovery dei nomi e degli indirizzi postali degli utenti al fine di avviare azioni civili di risarcimento del danno, a condizione che le iniziative e le richieste formulate siano giustificate, proporzionate e non abusive dei diritti e abbiano il proprio fondamento nelle norme nazionali di uno Stato Membro.

L’importanza della sentenza

La portata, per molti versi innovativa, della sentenza della Corte di Giustizia nel caso C-597/19, ci riporta – rendendo possibile un confronto a distanza di tempo – a una serie di vertenze giudiziarie che hanno visto protagonisti nel nostro Paese, nel lontano anno 2008, una casa discografica tedesca la Peppermint Jam Records GmbH (“Peppermint”), i fornitori di servizi di connettività, numerosi utenti delle piattaforme di file-sharing e il Garante per la Tutela dei Dati Personali.

Nel caso “Peppermint” le intenzioni del produttore fonografico non erano affatto dissimili a quelli della Mircom. In tale fattispecie sono stati i legali della Peppermint ad inviare lettere di diffida a migliaia di utenti, intimando loro la cancellazione dai PC dei file recanti le opere musicali degli artisti di cui la casa discografica deteneva i diritti di sfruttamento economico, i quali venivano scambiati e messi a disposizione di altri utenti attraverso programmi di file sharing. Con la medesima lettera i legali della casa discografica pretendevano inoltre dai soggetti coinvolti nell’illecito, il pagamento, a titolo di “parziale risarcimento per danni, delle spese legali e delle spese tecniche sostenute per l’individuazione”, della somma di euro 330,00 ciascuno.

La stessa Peppermint ha potuto monitorare le violazioni compiute online dai suddetti utenti P2P tramite una società a tale fine incaricata, che ha identificato utilizzando un apposito programma, i dati personali (nome, cognome e indirizzo postale) relativi agli utenti connessi in rete che avevano effettuato una massiccia attività di scambio di file di opere protette dal diritto d’autore, senza il consenso dei titolari dei diritti.

La casa discografica tedesca, utilizzando tali dati ha presentato numerosi ricorsi avanti il Tribunale di Roma in base all’ art.156-bis della LDA, ottenendo, in una prima fase, l’emissione nei confronti degli ISP dell’ordine di esibizione dei dati anagrafici degli utenti che risultavano avere effettuato massicci s con riferimento a quanto accade nel nostro Paese, che le ordinanze a suo tempo emesse dal Tribunale di Roma nel caso “Peppermint” si basavano sui dati forniti dalla parte attrice al magistrato, il quale – a propria volta – ha impartito l’ordine alle imprese di telecomunicazione di produrre le informazioni richieste in base alle vigenti disposizioni di legge che consentono ai titolari dei diritti di agire in via di urgenza per ottenere “che il giudice ordini alla controparte di fornire gli elementi per l’identificazione dei soggetti implicati nella produzione e distribuzione dei prodotti o dei servizi che costituiscono violazione dei diritti di cui alla presente legge” (Art. 156-bis LDA).

Come noto, dopo che il Tribunale di Roma aveva favorevolmente accolto alcune domande di discovery dei dati dei soggetti che avevano scambiato i file digitali contenenti le opere protette formulate dai titolari dei diritti, ha mutato direzione, soprattutto a fronte delle proteste degli utenti cui veniva chiesto un risarcimento del danno per lo scambio illecito delle opere in P2P e per effetto della presa di posizione sul tema del Garante per la Tutela dei Dati Personali.

Invero, a seguito di alcune delle ordinanze di rigetto delle richieste dei dati degli utenti emanate dal Tribunale di Roma[14], le azioni della Peppermint sono state oggetto di alcuni provvedimenti del Garante della Privacy il quale – oltre ad avere preso parte ai processi civili in cui si dibatteva il tema dell’applicazione dell’Art. 156-bis LDA a sostegno degli intermediari e degli stessi utenti le cui violazioni erano state contestate – ha preso posizione contro ogni azione di monitoraggio dei file scambiati tramite i programmi di file-sharing e ha conseguentemente escluso l’accesso dei titolari dei diritti ai dati degli utenti che operavano lo scambio di opere tutelate.

In particolare, al tempo dei fatti, il Garante Privacy ha, in primo luogo, assunto come valide e vincolanti le valutazioni espresse dall’Avvocato Generale nella causa Promusicae / Telefonica, impartendo istruzioni circa la “Sicurezza dei dati di traffico telefonico e telematico” in data 17 gennaio 2008, stabilendo regole volte a limitare l’uso dei dati degli utenti dei servizi on-line da parte dei service provider.

Inoltre, con un ulteriore specifico provvedimento del 28 febbraio 2008, il Garante Privacy ha espresso la propria valutazione giuridica sulla raccolta dei dati personali oggetto della vicenda Peppermint, in particolare avuto riguardo ai sistemi di monitoraggio utilizzati da quest’ultima, per il tramite di una società svizzera incaricata della raccolta degli indirizzi IP degli utenti ai fini dell’identificazione dei soggetti che operavano scambi illeciti di opere attraverso il file-sharing.

Va peraltro osservato che le indicazioni fornite dal Garante Privacy nei provvedimenti sopra indicati non sembravano all’epoca riflettere, né tenere nel dovuto conto, le risultanze della sentenza della Corte di Giustizia UE nel caso Promusicae, né davano atto della necessità di porre un freno alle illecite attività di scambio di file in Rete[15].

Di segno contrario alle precedenti indicazioni giurisprudenziali (specialmente del Tribunale di Roma) e ai provvedimenti del Garante Privacy è l’ordinanza resa dal Tribunale di Torino, Sez. Specializzate Impresa il 3 giugno 2015, quindi numerosi anni dopo la chiusura della vicenda Peppermint, con cui si è impartito alla resistente Dailymotion l’ordine di fornire al titolare dei diritti i dati in suo possesso utili a identificare i responsabili delle violazioni commesse con l’uploading dei file delle opere protette messe a disposizione del pubblico dalla piattaforma digitale francese.

Nella motivazione del tribunale piemontese, contrariamente a quanto in precedenza asserito dal tribunale di Roma, il bilanciamento fra i contrapposti diritti deve essere letto nel senso che: “Il diritto comunitario non impone agli Stati membri di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile, ma neppure lo vieta”.

Riguardo alla domanda proposta dalla ricorrente nei confronti di Dailymotion, secondo il presidente delle Sezioni Specializzate di Torino, essa appariva “logica, mirata e circoscritta agli autori di conclamate, circoscritte e riconosciute violazioni, per giunta penalmente rilevanti (ai sensi dell’art.171 l.d.a.), e soprattutto, in palese divergenza rispetto al caso deciso dalla Corte di Giustizia (Promusicae vs. Telefonica), considerato che qui non si tratta di acquirenti di prodotti illecitamente diffusi ma dei veri e propri autori dell’atto di violazione”. In altri termini: nel file-sharing va chiaramente distinto il downloading dall’uploading di opere protette, costituendo il primo un’azione penalmente neutra, mentre il secondo – se connotato da scopo di lucro – appare come fatto grave e tale da mutare il bilanciamento degli interessi in gioco.

A sostegno di tale tesi, il giudice del tribunale piemontese sottolinea che, nel caso in esame, non ci troviamo di fronte ad una contrapposizione fra sfruttamento patrimoniale dell’opera e libertà di comunicazione e di espressione dei privati che riproducono abusivamente i file di opere protette per un fine personale, ma detta contrapposizione semmai riguarda “la riproduzione e diffusione a fini almeno indirettamente commerciali dell’opera in regime di concorrenza di fatto”. In altri termini, la tutela della privacy non giustifica azioni di arricchimento a danno del titolare dei diritti sulle opere protette, tanto da sacrificare totalmente il suo investimento e quello dei suoi cessionari.

Assai di recente, su una linea esegetica non distante da quella del Tribunale di Torino sopra citata, il presidente delle Sezioni Specializzate Impresa del Tribunale di Milano, con ordinanza del 14 aprile 2020 (R.G. 30185/2019), ha respinto l’istanza delle ricorrenti ex art. 156-bis Legge Autore, con una motivazione che, pur non soddisfacendo i titolari dei diritti, traccia un bilanciamento fra il diritto alla privacy degli utenti e la tutela del diritto d’autore, ritenendo (nel caso a lui sottoposto per il giudizio) non sussistere “la necessaria proporzione tra l’entità degli illeciti dedotti in causa (… ) e il rilevantissimo numero di file che risulterebbero essere disponibili per lo scambio (…) sicché la richiesta identificazione di un consistente numero di releasers senza indicare per essi la relazione diretta con i fatti contestati dalle singole parti attrici non può essere ritenuta allo stato ammissibile per la sua eccessiva generalizzazione ai fini dell’adozione della misura richiesta”.

Per il tribunale meneghino, la richiesta di discovery dei dati personali degli utenti secretati dal C.T.U. in fase di descrizione, per essere accolta deve essere ragionevole e proporzionata, come asserisce la Corte di Giustizia dell’UE nella sentenza qui commentata, dovendosi dimostrare che i soggetti coinvolti nell’uploading abbiano svolto un’attività effettivamente ad essi riconducibile nel mettere a disposizione del pubblico contenuti protetti dal diritto d’autore.

Nel prossimo futuro si potrà verificare se il recente arresto della Corte di Giustizia sarà in grado di incidere sul nostro sistema giuridico, oltre che su quello degli altri paesi dell’Unione Europea consentendo, oppure vietando, l’accesso ai dati degli utenti.

In questa evoluzione giurisprudenziale svolgeranno un ruolo non secondario le norme di implementazione dell’Art. 17 della Direttiva “Digital Single Market” che riguarda proprio le piattaforme di condivisione dei contenuti tutelati dai diritti di privativa[16].

Note

  1. https://www.courthousenews.com/wp-content/uploads/2021/06/ecj-micm.pdf
  2. Mircom International Content Management & Consulting è una società che opera per conto dei titolari dei diritti al fine di incassare il risarcimento del danno causato dagli uploader illegittimi. In un precedente caso, conclusosi nell’anno 2019 (16 luglio) di fronte alla EWHC di Londra, Mircom aveva agito insieme con alcuni titolari dei diritti nei confronti dell’ISP Virgin Media per ottenere i nomi degli utenti abusivi delle opere protette da essa amministrate https://www.bailii.org/cgi-bin/format.cgi?doc=/ew/cases/EWHC/Ch/2019/1827.html&query=(mircom)
  3. https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32004L0048R(01)&from=en
  4. Art. 156-bis1. Qualora una parte abbia fornito seri elementi dai quali si possa ragionevolmente desumere la fondatezza delle proprie domande ed abbia individuato documenti, elementi o informazioni detenuti dalla controparte che confermino tali indizi, essa può ottenere che il giudice ne disponga l’esibizione oppure che richieda le informazioni alla controparte. Può ottenere altresì, che il giudice ordini alla controparte di fornire gli elementi per l’identificazione dei soggetti implicati nella produzione e distribuzione dei prodotti o dei servizi che costituiscono violazione dei diritti di cui alla presente legge.2. In caso di violazione commessa su scala commerciale il giudice può anche disporre, su richiesta di parte, l’esibizione della documentazione bancaria, finanziaria e commerciale che si trovi in possesso della controparte.3. Il giudice, nell’assumere i provvedimenti di cui ai commi 1 e 2, adotta le misure idonee a garantire la tutela delle informazioni riservate, sentita la controparte.4. Il giudice desume argomenti di prova dalle risposte che le parti danno e dal rifiuto ingiustificato di ottemperare agli ordini.Art. 156-ter1. L’autorità giudiziaria sia nei giudizi cautelari che di merito può ordinare, su istanza giustificata e proporzionata del richiedente, che vengano fornite informazioni sull’origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di cui alla presente legge da parte dell’autore della violazione e da ogni altra persona che:a) sia stata trovata in possesso di merci oggetto di violazione di un diritto, su scala commerciale; sia stata sorpresa a utilizzare servizi oggetto di violazione di un diritto, su scala commerciale; b) sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attività di violazione di un diritto; c) sia stata indicata dai soggetti di cui alle lettere a) o b) come persona implicata nella produzione, fabbricazione o distribuzione di tali prodotti o nella fornitura di tali servizi.2. Le informazioni di cui al comma 1 possono tra l’altro comprendere il nome e indirizzo dei produttori, dei fabbricanti, dei distributori, dei fornitori e degli altri precedenti detentori dei prodotti o dei servizi, nonché dei grossisti e dei dettaglianti, nonché informazioni sulle quantità prodotte, fabbricate, consegnate, ricevute o ordinate, nonché sul prezzo dei prodotti o servizi in questione. 3. Le informazioni vengono acquisite tramite interrogatorio dei soggetti di cui al comma 1.4. Il richiedente deve fornire l’indicazione specifica delle persone da interrogare e dei fatti sui quali ognuna di esse deve essere interrogata. 5. Il giudice, ammesso l’interrogatorio, richiede ai soggetti di cui al comma 1 le informazioni indicate dalla parte; può altresì rivolgere loro, d’ufficio o su istanza di parte, tutte le domande che ritiene utili per chiarire le circostanze sulle quali si svolge l’interrogatorio.6. Si applicano gli articoli 249, 250, 252, 255 e 257, primo comma, del codice di procedura civile.
  5. Il file-sharing o P2P è frutto degli sviluppi tecnologici immediatamente successivi alla nota sentenza Napster dell’anno 2001, con la quale sono stati di fatto posti fuori legge, negli Stati Uniti, i sistemi “centralizzati” tramite i quali gli utilizzatori della rete Internet potevano scaricare dal proprio computer i file di opere tutelate dal Diritto d’Autore che il programma elaborato ed utilizzato dall’imprenditore americano Shaw Fenning deteneva in un “server centrale”. Il “server centrale” creato da Napster consentiva di: a) mettere in comunicazione diretta tutti gli utilizzatori connessi alla Rete; b) indicizzare l’integralità delle risorse condivise; c) utilizzare un’unica porta di accesso; d) creare il “profilo” di ciascun utente in base alla tipologia delle utilizzazioni da esso stesso poste in essere. Una volta che Napster ha cessato di esistere come servizio per lo scambio centralizzato dei “file”, alcune imprese hanno creato dei programmi software che consentissero lo scambio di contenuti digitali, senza la necessità di passare attraverso un server centrale. Sono stati in tal modo creati i sistemi peer-to-peer (nodo a nodo) in cui ciascun computer (detto anche Client) possiede un proprio database (cioè i contenuti da veicolare), potendo comunicare direttamente con l’intera comunità degli utenti. In altri termini, ogni computer ha assunto con il P2P, ad un tempo, il ruolo di Server (fornitore del contenuto) e di Client (utilizzatore dello stesso), svolgendo una attività di scambio decentralizzata dei file, senza che esista un sistema centrale di “indicizzazione” delle risorse. Inoltre, l’utilizzo di protocolli bit-torrent nei programmi di file-sharing consente di identificare tutti i soggetti che si trovano collegati alla Rete, i quali possiedano un determinato file, con la rispettiva stringa identificativa e le sue dimensioni, cosicché lo scaricamento dell’opera (o meglio, del file che la contiene) diviene più semplice e veloce. Queste modalità di collegamento sono definite anche “hash-link” in cui l’”hash” (che è una parte del file intero che viene progressivamente scaricato sul PC degli utenti) appare come una sorta di “firma digitale” che identifica uno ed uno soltanto dei file condivisi, permettendo in tal modo all’utente di ritornare alla lista disponibile in ciascun “nodo” (o supernodo) collegato alla rete che stia ponendo a disposizione del pubblico quel file. Attraverso il file-sharing la piramide distributiva non si ferma quindi al consumatore, come nel caso dei supporti multimediali dotati di fisicità, ma si trasferisce all’utente finale che assume a propria volta il ruolo di “distributore” di beni in formato digitale (file), generando in tal modo una disseminazione illimitata di contenuti protetti.
  6. Si tratta di un’architettura in cui i singoli nodi (o peer) che sono collegati fra loro per lo scambio dei file nel P2P non dialogano con il server centrale, come nel sopra citato caso Napster, ma si interfacciano direttamente con i peer del medesimo network.
  7. La Corte di Giustizia richiama sul punto anche il concetto di linking così come definito nella propria decisione Renckhoff del 7 agosto 2018 (C-161/17.EU.C 2018.634, par. 20). Sul tema vedi su questa testata: https://www.agendadigitale.eu/sicurezza/linking-framing-ed-embedding-nuove-regole-in-vista-dalla-corte-di-giustizia-europea/#!
  8. https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32004L0048R(01)&from=en
  9. Il termine è ripreso in maniera non del tutto consona, dal fenomeno dei c.d. “patent trolls” https://en.wikipedia.org/wiki/Patent_troll soggetti che, avvalendosi di agguerriti studi legali, traggono profitto dalla loro capacità di identificare, in seno ai prodotti posti in commercio da imprese ad alta tecnologia, la violazione dei brevetti da essi detenuti e di cui gli stessi dopo averli acquistati non hanno inteso disporre, sfruttandoli o cedendoli in licenza a terzi, al solo fine di ricavare somme dai soggetti che li utilizzano nell’ambito del cross licensing.
  10. La Corte richiama in proposito la Sentenza “Probst” nel caso C-119/12 del 22 novembre 2012 URL: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62012CA0119
  11. La Corte richiama sul punto la sentenza resa nel caso C-511/18, C-512/18 La Quadrature du Net e altri del 6 ottobre 2020, in particolare il par. 152 che recita: “Occorre rilevare che gli indirizzi IP, pur facendo parte dei dati relativi al traffico, sono generati senza essere collegati a una comunicazione determinata e servono principalmente a identificare, tramite i fornitori di servizi di comunicazione elettronica, la persona fisica proprietaria di un’apparecchiatura terminale a partire dalla quale viene effettuata una comunicazione via Internet. Pertanto, in materia di posta elettronica e di telefonia via Internet, purché siano conservati solo gli indirizzi IP dell’origine della comunicazione e non quelli del destinatario della stessa, detti indirizzi non rivelano, in quanto tali, alcuna informazione sui terzi che sono stati in contatto con la persona all’origine della comunicazione. Questa categoria di dati presenta quindi un grado di sensibilità inferiore rispetto agli altri dati relativi al traffico”.
  12. Sent. ECJ del 22 gennaio 2008, nel caso C-275/06 rinvenibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62006CJ0275&from=IT
  13. https://curia.europa.eu/juris/document/document.jsf?text=&docid=238381&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=23105518
  14. Il provvedimento di maggiore rilevanza in materia di discovery e privacy è quello reso nella causa 26121/07, in data 17 marzo 2008, della giudice Gabriella Muscolo con cui, analizzate le norme della direttiva Enforcement, della Dir. 45/96/CE e 2002/58/CE sulla privacy, in relazione alla Sent. Promusicae, il magistrato di prime cure, che al tempo faceva parte delle Sezioni Specializzate in materia di P.I. presso il Tribunale di Roma, ha condotto un’interessante analisi sul fondamento giuridico delle citate norme degli artt. 156-bis e 156-ter L.A., sostenendone la piena operatività ed efficacia nel nostro ordinamento per i fini che esse si prefiggono, ma rilevando che l’art. 156-bis, comma 3, imporrebbe al giudice, nel chiedere le informazioni dai contraffattori, l’obbligo di adottare “le misure idonee a garantire la tutela delle informazioni riservate, sentita la controparte”. Secondo lo stesso giudice del Tribunale di Roma, anche la Direttiva 2001/29/CE sulla tutela del D.A. nella società dell’informazione, all’art. 9, farebbe salve – fra le molte – le norme che riguardano “la riservatezza, la tutela dei dati e il rispetto della vita privata” la cui difesa prioritaria – ad avviso di tale giudice – si estenderebbe anche ai provvedimenti inibitori “assunti nei confronti degli intermediari i cui servizi siano utilizzati da terzi per violare un diritto d’autore o diritti connessi” di cui all’art. 8(3) della medesima citata Direttiva. A tale stregua, il Tribunale di Roma dopo avere svolto un ragionamento circa la proporzionalità delle misure da adottare per la tutela dei diritti, anche in relazione al principio di bilanciamento degli interessi tutelati (privacy e proprietà intellettuale) tracciato dalla sentenza della Corte di Giustizia nel procedimento Promusicae / Telefonica , ha ritenuto che nei casi in cui “l’esecuzione dell’ordine di discovery si risolvesse in una comunicazione dei dati personali dei consumatori, senza alcun consenso dei medesimi, che operano sulla rete sulla presunzione di anonimato, la misura violerebbe il diritto alla riservatezza dei medesimi e pertanto ne difetterebbe il requisito di ammissibilità”.
  15. Un primo aspetto che era stato rilevato nelle vicende relative alla presa di posizione del Garante per la Tutela dei Dati Personali nei confronti del caso “Peppermint”, riguarda la distonia che emergeva fra la posizione dell’Avvocato Generale nella causa Promusicae, il quale aveva concluso che “l’art. 13, n.1 lett. g) della Direttiva 95/46/CE non sia tale da giustificare la comunicazione dei dati sul traffico di natura personale” e quanto scritto, in merito a tale affermazione, nella Sentenza resa dalla Corte di Giustizia. Al paragrafo 53 della citata decisione si legge, infatti: “Tuttavia, non si può non constatare che l’art. 15, n. 1, della direttiva 2002/58 conclude l’elenco delle suddette deroghe facendo espresso riferimento all’art. 13, n. 1, della direttiva 95/46. Ebbene, anche quest’ultima disposizione autorizza gli Stati membri a adottare disposizioni intese a limitare la portata dell’obbligo di riservatezza dei dati personali qualora tale restrizione sia necessaria, tra l’altro, per la tutela dei diritti e delle libertà altrui. Poiché non precisano i diritti e le libertà che vengono in tal modo in questione, le dette disposizioni dell’art. 15, n. 1, della direttiva 2002/58 devono essere interpretate nel senso che esprimono la volontà del legislatore comunitario di non escludere dal loro ambito di applicazione la tutela del diritto di proprietà e delle situazioni in cui gli autori mirano ad ottenere tale tutela nel contesto di un procedimento civile”. Le conclusioni cui era pervenuta la Corte di Giustizia in merito a tale punto è stata confermata nel successivo paragrafo 54 della sentenza che recita: “Occorre pertanto constatare che la Direttiva 2002/58 non esclude la possibilità, per gli Stati membri, di prevedere l’obbligo di divulgare dati personali nell’ambito di un procedimento civile”. In base a queste considerazioni, appariva ultronea l’affermazione in base alla quale il Garante esclude che “tali dati possano essere messi a disposizione per controversie civili relative ai diritti di proprietà intellettuale”, facendo riferimento, in tal caso, non ai principi contenuti nella sentenza comunitaria, ma al divieto di utilizzazione dei dati di fatturazione in possesso dei service provider (Provv. 28 febbraio 2008, par. 1 in fine) di cui la stessa sentenza de quo si occupa al par. 48, che concerne la portata dell’Art. 6 della Direttiva 2002/58. Nella loro lettera del 20 marzo 2008 al Garante, inviata per conto di Peppermint in merito al contenuto del provvedimento del 28 febbraio 2008 dello stesso Garante Privacy, gli avvocati della casa discografica osservavano che il P2P non può essere considerato alla stregua di una “comunicazione privata”, dal momento che tale natura non potrebbe discendere da una comunicazione aperta a chiunque vi voglia accedere. Tale principio sarebbe confermato – secondo gli stessi legali – dalla sentenza C-306/05 della Corte di Giustizia UE che include nel concetto di “comunicazione al pubblico” anche lo sfruttamento delle opere audiovisive in seno ad un servizio televisivo alberghiero.
  16. https://www.agendadigitale.eu/mercati-digitali/diritto-d-autore/
WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3