Borse di scambio su Internet e protezione dei dati

Nell’ambito di chiarimenti sul trattamento dei dati presso una società operante nel settore della lotta contro le violazioni del diritto d’autore, abbiamo constatato che nelle reti di scambio via Internet peer-to-peer l'acquisizione di dati non rispetta i principi basilari della legge sulla protezione dei dati. Non mettiamo in alcun modo in discussione la legittimità del perseguimento penale delle violazioni dei diritti d’autore; tuttavia ci siamo resi conto che, di fatto, i titolari di tali diritti abusano del proprio diritto di consultare gli atti nell’ambito di un procedimento penale per identificare il titolare dell’accesso a Internet, eludendo così il segreto delle comunicazioni vigente nel diritto privato. A nostro avviso la questione delle violazioni di tale segreto in ambito civile richiede una base legale esplicita. Da parte nostra abbiamo raccomandato alla società in questione di cessare il trattamento dei dati.

Su mandato dell’industria dei media un'impresa svizzera (di seguito chiamata X SA) procede all’accertamento di violazioni del diritto d’autore nelle reti peer-to-peer (P2P) in cui si scambiano file video o musicali. A questo scopo la società ha sviluppato un software che registra segretamente e in modo automatico le tracce elettroniche lasciate dall’utilizzatore del programma P2P, tramite il quale si possono scaricare illegalmente opere protette da diritto d’autore. Questi dati, contenenti soprattutto indirizzi IP, sono registrati all’insaputa delle persone interessate (compreso il titolare dell’accesso a Internet, probabilmente in buona fede) e comunicati periodicamente ai titolari dei diritti d’autore delle opere in questione o ai loro rappresentanti legali, nella maggior parte dei casi all’estero.

I dati relativi agli indirizzi IP (come nome e indirizzo del titolare dell’accesso a Internet), in possesso degli operatori di servizi di telecomunicazione, sono protetti dal segreto delle telecomunicazioni. L’identità del titolare dell’accesso alla rete può essere resa nota alle autorità istruttorie solo nell’ambito di un’inchiesta penale. Per questo motivo i titolari del diritto d’autore o i loro rappresentanti legali sporgono denuncia penale contro ignoti, fornendo alle autorità istruttorie i dati raccolti dalla società X SA. Successivamente, nell’ambito della procedura penale, in virtù del diritto di consultare gli atti, essi vengono a conoscenza dell’identità del titolare dell’indirizzo IP (che non sempre coincide con chi ha effettivamente commesso la violazione). Una volta identificato il titolare della connessione Internet in questione, i titolari dei diritti d’autore fanno valere le proprie pretese di diritto civile chiedendo un risarcimento dei danni, prima ancora che il procedimento penale sia terminato.

I dati rilevati (in particolare l’indirizzo IP) sono dati personali, in quanto permettono di individuare in modo indiretto determinate persone. Il trattamento di questi dati è soggetto alla LPD. Poiché i metodi di trattamento impiegati dalla società X SA possono ledere la sfera privata di numerose persone, senza che queste ne siano a conoscenza, abbiamo proceduto a un accertamento dei fatti.

Abbiamo esaminato il rispetto dei principi alla base della protezione dei dati, in particolare quelli della liceità, della finalità, della buona fede e della trasparenza, così come il principio di proporzionalità. Abbiamo inoltre indagato se esiste un motivo, segnatamente un interesse privato preponderante, che giustifichi una simile raccolta di dati.

In base al principio della liceità i dati personali possono essere trattati soltanto in modo lecito. La legislazione vigente non consente né vieta espressamente la raccolta sistematica di indirizzi IP nelle borse di scambio su Internet. Siamo pertanto dell’avviso che un simile trattamento di dati, che avviene all’insaputa delle persone interessate, in modo proattivo e allo scopo di avviare un procedimento penale, dovrebbe essere oggetto di una base legale esplicita.

Secondo il principio della finalità i dati personali possono essere trattati solo per lo scopo indicato al momento della loro raccolta, risultante dalle circostanze o previsto da una legge. Nel caso in questione i dati relativi ai collegamenti Internet sono resi accessibili per permettere lo scambio di contenuti. La raccolta e la registrazione sistematiche di dati per individuare violazioni del diritto d’autore non sono compatibili con l’obiettivo perseguito originariamente: questo mutamento di scopo non è previsto in una legge e neppure riconoscibile per l’utilizzatore del software, tanto meno per il titolare dell’indirizzo IP. Pertanto, con il suo modo di procedere la società X SA viola il principio della finalità.

In base al principio della trasparenza il trattamento dei dati deve essere riconoscibile da parte della persona interessata: questa deve cioè esserne informata oppure aspettarsi tale trattamento date le circostanze. Nel caso in questione la raccolta dei dati avviene all’insaputa delle persone interessate (il titolare dell’accesso a Internet o la persona che mette effettivamente a disposizione i file protetti), le quali, in linea di massima, non si aspettano un simile trattamento di dati. In base a queste premesse, la società X SA viola anche il principio della trasparenza.

Il trattamento dei dati deve inoltre rispettare il principio della buona fede. Nel caso in questione la società X SA raccoglie i dati con l’intento di identificare il titolare dell’accesso a Internet e di rivendicare pretese civili nei suoi confronti. I dati relativi all’indirizzo IP sono protetti dal segreto delle telecomunicazioni e l’identificazione del titolare dell’accesso a Internet è attualmente possibile soltanto nel quadro di un procedimento penale. Sporgendo una denuncia penale unicamente allo scopo di accertare l’identità del titolare dell’accesso a Internet (che, come detto in precedenza, può essere in buona fede) e pretendere da questi un risarcimento dei danni, i titolari dei diritti d’autore o i loro rappresentati legali eludono il segreto delle comunicazioni vigente in ambito civile. Siamo pertanto del parere che un simile comportamento sia da considerarsi contrario al principio della buona fede. Di fatto i titolari dei diritti d’autore sfruttano il proprio diritto di consultare gli atti nell’ambito del procedimento penale per far valere pretese di diritto civile nei confronti dei titolari dell’indirizzo IP, ancora prima che il procedimento stesso sia terminato e la sentenza di violazione emessa. A nostro avviso un simile modo di procedere è un abuso di diritto. La legislazione non prevede la possibilità di abolire il segreto delle telecomunicazioni nell'ambito del diritto privato e questa lacuna non è stata colmata in occasione dell'ultima revisione della legge sul diritto d'autore.

Per quanto concerne il rispetto del principio della proporzionalità, il trattamento dei dati può essere considerato proporzionato se è necessario e appropriato allo scopo perseguito e se le misure adottate sono ragionevoli rispetto alla lesione della personalità della persona interessata. Il trattamento dei dati effettuato dalla società X SA è una misura atta a delimitare la cerchia delle persone sospettate di violare il diritto d’autore e ad accertare i fatti di tale violazione, per poter così sporgere una denuncia che abbia buone possibilità di successo. La misura è necessaria anche per accertare che è stata commessa una violazione del diritto d’autore e per poterla provare. Tuttavia, i titolari dei diritti d’autore non devono forzatamente conoscere l’identità del titolare in buona fede della connessione Internet per esercitare i loro diritti di parte nel quadro di un procedimento penale. Date le circostanze, può essere considerata proporzionata soltanto la raccolta di dati personali allo scopo di intentare un’azione penale.

Soltanto un interesse privato preponderante potrebbe giustificare il trattamento dei dati effettuato dalla società X SA. Tale trattamento presenta però un conflitto di interessi: da un lato i titolari dei diritti d’autore hanno interesse a perseguire penalmente chi viola i loro diritti, dall’altro le persone oggetto del trattamento dei dati hanno interesse a difendere i propri diritti della personalità.

Nel presente caso, nella prassi il diritto di accesso agli atti è utilizzato in modo abusivo per intentare azioni civili contro i titolari in buona fede della connessione Internet. Un simile abuso di diritto non può essere in alcun modo giustificato. Poiché non esiste alcuna garanzia che la raccolta e il trattamento dei dati ad opera della X SA siano effettuati al solo scopo di intentare un procedimento penale e di avanzare pretese civili unicamente contro l’autore della violazione, siamo giunti alla conclusione che la società in questione debba cessare il trattamento dei dati.

Riassumendo, il trattamento dei dati da parte della X SA non rispetta i principi fondamentali della LPD e il legittimo interesse privato dei titolari dei diritti d’autore non può essere considerato un motivo sufficiente per giustificare tale trattamento, fintantoché non sarà garantito che l'identità dei titolari in buona fede di connessioni Internet venga tutelata nell’ambito di un procedimento penale.

Abbiamo raccomandato alla X SA di porre immediatamente fine al trattamento dei dati da essa effettuato, finché non sarà elaborata una base legale apposita. Poiché la società ha comunicato entro il termine concessole di non accettare la nostra raccomandazione, abbiamo sottoposto il caso al Tribunale amministrativo federale per decisione.

Ulteriori informazioni

Documenti

informations complémentaires

Ultima modifica 30.06.2008

Inizio pagina

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/15--rapporto-d-attivita-2007-2008/borse-di-scambio-su-internet-e-protezione-dei-dati.html