I dirigenti di Google sono stati condannati per violazione della normativa privacy italiana.
Innanzitutto è opportuno sottolineare che l’azione non è stata rivolta nei confronti di Google Inc con sede in Mountain View CA 94043 (USA) ma nei confronti di Google Italia S.r.l. con sede in Milano, Corso Europa 2.
Google Italia S.r.l. formalmente non gestisce i server e non è titolare dei domini nè italiani nè americani e sono certo che avrà sostenuto di non essere la responsabile dei contenuti di google come già tante volte ha fatto in sede di ricorsi al Garante Privacy dove generalmente si difende affermando di svolgere “mera attività di supporto delle altre società del gruppo nel campo del marketing, ricerca clienti – clienti e non utenti – e raccolta della pubblicità”
Sarà, dunque, interessante leggere quali argomentazioni giuridiche sono state utilizzate dal Tribunale per ritenerla responsabile. E’ evidente che se i dirigenti di Google Italia sono stati considerati responsabili non è stata riconosciuta come valida la teoria che il trattamento dei dati sarebbe svolto solo ed unicamente da Google Inc, l’unica ad avere la gestione dei server disclocati in territorio americano.
Se, dunque, il trattamento dei dati è svolto anche da Google Italia si superano le perplessità sulla applicabilità della normativa privacy italiana sollevate da alcuni commentatori.
Passiamo ora ad analizzare il merito. Non avendo reperito on-line il dispositivo della sentenza (tutti i quotidiani fanno un generico cenno ad una condanna per violazione della normativa privacy senza indicare quali norme nello specifico sarebbero state violate) posso solo supporre che ai dirigenti di Google Italia S.r.l nella loro qualità di responsabili del trattamento dei dati sia stata contestato di aver violato l’art 169 del Codice Privacy il quale dispone al primo comma:
“Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni.”
L’art 33 apre il capo del codice dedicato alle misure di sicurezza minime e a sua volta richiama anche l’art. 31 che, sulle misure di sicurezza, più genericamente afferma: “1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Si tratta, dunque, di stabilire se le misure di sicurezza predisposte da Google siano o non siano idonee ad impedire o quantomeno limitare la pubblicazione di video che ledano il diritto alla privacy. Difficile dirlo senza aver letto gli atti del processo. Sarà certamente rilevante stabilire, per esempio, se esistevano all’epoca dei fatti delle linee guida interne per bloccare i video lesivi della privacy, se erano state predisposte apposite risorse umane e non (procedure automatizzate di scansione video) per scremare determinati tipi di video; se esistevano delle procedure che consentissero di segnalare tempestivamente e far sospendere la visibilità di un video.