Il parere dell’Avvocato Generale UE nella Causa C-264/19 Constantin Film Verleih GmbH contro YouTube LLC: involuzione dell’esegesi della ratio sottesa alla c.d. direttiva enforcement (48/2004/CE)

di Alessandro La Rosa -

Background

Lo scorso 2 aprile c.a. l’Avvocato Generale HENRIK SAUGMANDSGAARD ØE ha pubblicato il proprio parere sulla questione pregiudiziale sottoposta alla Corte di Giustizia dal Bundesgerichtshof (Corte federale di giustizia, Germania), relativa all’interpretazione dell’articolo 8, paragrafo 2, della direttiva 2004/48/CE e, nel dettaglio, afferente alla questione se gli indirizzi e-mail, i numeri di telefono e gli indirizzi IP utilizzati da utenti che senza la necessaria autorizzazione hanno caricato sulla piattaforma di video sharing “YouTube” opere audiovisive di terzi (i.e della Costantin Film) rientrino tra le informazioni ostensibili secondo la lettera della norma sopra citata.

Tale norma stabilisce che gli Stati membri assicurano che, nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, l’autorità giudiziaria competente possa ordinare che le informazioni sull’origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di proprietà intellettuale siano fornite dall’autore della violazione o da soggetti terzi che abbiano la disponibilità di tali informazioni. In particolare, la norma chiarisce che le dette informazioni comprendono “nome e indirizzo” dell’autore della violazione.

L’Avvocato Generale risponde negativamente alla questione posta dal Bundesgerichtshof: affermando che “un’interpretazione «dinamica» o teleologica di detta disposizione … deve essere esclusa in un contesto del genere” in quanto la norma oggetto di interpretazione “non offre un margine di interpretazione sufficiente … per includere le informazioni menzionate nelle questioni pregiudiziali”. A ritenere diversamente, sostiene l’Avvocato Generale, si finirebbe per ostacolare la tutela dei dati personali ridisegnando il delicato equilibrio voluto dal legislatore tra gli interessi contrapposti in gioco (quello del titolare dei diritti di proprietà intellettuale a conoscere i dati identificativi dell’autore diretto dell’illecito e quello della tutela dei dati personali dello stesso). In sostanza, stando all’interpretazione qui in commento, i termini “nome e indirizzo” non possono afferire che al “nome e all’indirizzo” fisico dell’autore della violazione.

Tale interpretazione della norma in commento non è condivisibile.

Il dato normativo

L’interprete sovranazionale ha evidentemente dimenticato che l’obiettivo della direttiva IPRED è quello di assicurare un livello elevato, equivalente ed omogeneo di protezione della proprietà intellettuale nel mercato interno (considerando 10) e proprio la direttiva dà atto del fatto che “la diffusione dell’uso di Internet permette una distribuzione immediata e globale dei prodotti pirata”. La domanda che probabilmente l’AG non si è posto è: quanti utenti della rete che pubblicano materiale illecito online forniscono il proprio nome (reale) e indirizzo fisico ai gestori di una video sharing platform (come YouTube)?

Nel fornire la soluzione in commento, bene avrebbe fatto l’AG a riesaminare la ratio che informa di se tutta la direttiva 2004/48/CE, finalizzata, nel suo complesso, a uniformare gli strumenti di tutela dei diritti di proprietà intellettuale, intervenendo lì dove “non sono previste misure, procedure e mezzi di ricorso come il diritto d’informazione o il ritiro, a spese dell’autore della violazione, delle merci controverse immesse sul mercato” (vd. considerando 7); lacune che, di fatto, “rendono impossibile assicurare che i diritti di proprietà intellettuale beneficino di un livello di tutela omogeneo su tutto il territorio della Comunità” (vd. considerando 8).

Allo scrivente pare evidente che il parere dell’AG non abbia considerato che una interpretazione formalistica del dato normativo si traduce in un pericoloso indebolimento del diritto sostanziale della proprietà intellettuale (circostanza che inevitabilmente comporta una perdita di fiducia degli operatori economici e, di conseguenza, una riduzione degli investimenti nella creazione di opere dell’ingegno): interpretazione che, nuovamente, ignora l’esplicito obiettivo del legislatore comunitario di “definire il campo di applicazione della presente direttiva nella misura più ampia possibile” (vd considerando 13), al punto da lasciare agli Stati membri il potere “di estendere per finalità interne le disposizioni della presente direttiva (anche ndr) ad atti di concorrenza sleale, comprese le copie pirata” (circostanza, quest’ultima, che ricorre nella fattispecie sottoposta all’esame dell’AG nel caso in esame).

Nessuna giustificazione può trovare la soluzione proposta dall’AG neppure alla luce del considerando 17 della direttiva IPRED: dove si legge che nel dare applicazione alle norme, e quindi anche alle “misure” previste dalla direttiva, l’interprete dovrà “tenere debitamente conto delle caratteristiche specifiche del caso” concreto. Ed è evidente che il “caso” concreto impone all’interprete una interpretazione evolutiva dal dato normativo.

Ma è il successivo considerando 21 ad apparire decisivo: nella misura in cui chiarisce che tra “le misure finalizzate a garantire un elevato livello di protezione” dei diritti in parola certamente è ricompreso il “diritto d’informazione, che consente di ottenere informazioni preziose … sull’identità di terzi coinvolti nella violazione”. Diritto di informazione che va necessariamente modulato alla luce dei casi e delle circostanze concrete (“a seconda dei casi e se le circostanze lo richiedono …”, considerando 24).

Orbene, se –come pretende l’AG- si impedisce al titolare di un diritto esclusivo di potere accedere a quei dati che, soli, garantiscono la reale identificabilità dell’autore diretto della violazione, quale tutela “elevata” ed effettiva sarà mai garantita ai diritti del soggetto leso?

La Comunicazione COM/2017/0708

Sul punto, dirimente appaiono i chiarimenti forniti dalla Commissione UE con la Comunicazione COM/2017/0708 dove si legge che qualsiasi ordine delle autorità giudiziarie a fornire le informazioni di cui all’articolo 8 della direttiva IPRED deve riguardare “soltanto le informazioni effettivamente necessarie per identificare” la fonte della violazione. Ciò discende, a parere della Commissione, dal presupposto di una richiesta giustificata e proporzionata di cui all’articolo 3 della stessa direttiva (in particolare, la prescrizione che le misure adottate devono essere leali ed eque, nonché non inutilmente complesse o costose, e che devono essere previste salvaguardie contro gli abusi).

La giurisprudenza della Corte UE

Dello stesso parere è anche la Corte di giustizia UE (procedimento C‑275/06, Promusicae, sentenza del 28 gennaio 2008), che ha ripetutamente chiarito che il diritto dell’Unione non osta a che gli Stati membri possano imporre l’obbligo di comunicare a determinati soggetti terzi privati dati di carattere personale relativi al traffico Internet al fine di permettere a tali soggetti di avviare un procedimento civile per violazione del diritto d’autore[1]. La Corte ha altresì affermato che tali norme non ostano all’applicazione di una normativa nazionale, istituita sulla base dell’articolo 8 della direttiva IPRED, la quale, ai fini dell’identificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa l’identità dell’abbonato al quale sia stato attribuito un indirizzo IP che sia servito ai fini della violazione di tale diritto. Una siffatta normativa nazionale, tuttavia, dovrebbe consentire al giudice nazionale di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalità, i contrapposti interessi in gioco[2]. Del resto in altro parere vertente su questione analoga a quella in commento, l’AG NIILO JÄÄSKINEN aveva fornito una soluzione che sembra andare in direzione opposta a quella qui in commento: “La direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, non si applica al trattamento di dati personali per fini diversi da quelli previsti all’articolo 1, paragrafo 1, di tale direttiva. Pertanto, la medesima direttiva non osta all’applicazione di una disposizione nazionale ai sensi della quale, in un procedimento civile e allo scopo di identificare un determinato abbonato, il giudice ingiunga ad un operatore Internet di fornire al titolare di diritti d’autore, o al suo avente diritto, informazioni sull’abbonato al quale l’operatore Internet abbia assegnato l’indirizzo IP in cui si sarebbe verificata la violazione del diritto”[3]. Sul piano processuale, la Corte UE ha inoltre chiarito che quanto specificato all’articolo 8 della direttiva IPRED, secondo cui può essere ordinato di fornire informazioni “nel contesto” dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale, significa che la messa a disposizione di tali informazioni non deve necessariamente essere ordinata in questi stessi procedimenti, bensì può essere disposta anche in successivi procedimenti separati avviati in vista di un’eventuale azione di risarcimento. In funzione delle disposizioni del diritto nazionale applicabili, essa può essere ordinata anche in un momento precedente, mediante un’ingiunzione preliminare[4]

Come se non bastasse, il parere dell’AG in commento si pone anche in contrasto con le previsioni della Direttiva 2000/31/CE: in particolare il considerando 48 espressamente attribuisce agli Stati membri la possibilità “di chiedere ai prestatori di servizi, che detengono informazioni fornite dai destinatari del loro servizio, di adempiere al dovere di diligenza che è ragionevole attendersi da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite”. Appare di tutta evidenza che per poter “individuare e prevenire” attività illecite appare indispensabile poter disporre di informazioni che consentano anche la effettiva identificabilità dell’autore delle violazioni. E tale necessità, si badi, era già stato chiaramente identificato dal legislatore comunitario sin dalla prima formulazione della direttiva E-commerce: il paragrafo 2 dell’art. 15 prevedeva (ancora più chiaramente di quanto non avvenga nel testo finale della norma) che il divieto di sorveglianza generale “fa salva qualsiasi attività di sorveglianza, mirata e temporanea” allorché ciò sia necessario “a fini di prevenzione, ricerca, scoperta e punizione” di attività illecite[5]. Nuovamente, senza la possibilità di identificare realmente l’autore dell’illecito non potrà mai essere irrogata alcuna “punizione”.

L’esperienza delle corti italiane.

Il Tribunale delle Imprese di Roma ha ripetutamente riconosciuto il buon diritto del titolare di diritti autoriali ad ottenere dall’intermediario di servizi della società dell’informazione tutte le informazioni nella sua disponibilità inerenti l’autore diretto dell’illecito.

Tanto è avvenuto con provvedimento del 13.3.2019, R.g. n. 1923/2019 (RTI c. Cloudflare) con cui il Giudicante ha ordinato alla resistente (con provvedimento integralmente confermato in sede di reclamo) “di comunicare immediatamente alla S.p.A. Reti Televisive Italiane i dati identificativi richiesti e nella sua disponibilità per l’identificazione degli hosting provider e dei gestori dei portali indicati nelle pagine nn. 14 e 15 del ricorso e di quelli che, pur avendo denominazione in parte diversa, siano riconducibili agli stessi soggetti gestori”; condannando la società Cloudflare “al pagamento in favore della parte ricorrente della somma di € 1.000,00 per ogni giorno in cui dovesse manifestarsi la violazione della presente ordinanza esistenza del diritto qui azionato”.

Nuovamente, con sentenza del 2.10.2019, RG. n. 33915/2017 (RTI c. Bit Kitchen), l’Autorità adita “in accoglimento dell’istanza della parte attrice, (ha) ordinato alla convenuta di fornire all’attrice ogni informazione utile ad identificare gli utenti responsabili del caricamento dei contenuti audiovisivi oggetto della domanda sul portale Vid.me”.

In termini è la costante giurisprudenza del Tribunale delle Imprese di Milano che, con innumerevoli provvedimenti resi a far data dal gennaio 2019, ha costantemente ordinato ai fornitori di servizi di hosting, in sede cautelare, la disclosure delle informazioni nella loro disponibilità. I più recenti, in ordine di tempo, sono due ordinanze del 9 gennaio 2020 confermative di due decreti inaudita altera parte con cui è stato ordinato a una serie di hosting provider “di depositare presso la Cancelleria entro il termine stabilito per la costituzione in giudizio nota contenente le informazioni in loro possesso che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati, relativamente ai servizi “…” (nome, cognome, data di nascita, luogo di nascita e indirizzo di residenza, codice fiscale, ovvero ragione e sede sociale e numero di identificazione ai fini fiscali o di registrazione nel registro delle imprese, o analoghi, in caso di persona giuridica)”.

[1] Così stabilisce la sentenza ai punti 49, 50, 53 3 54: 49 “D’altra parte, per quanto attiene all’art. 15, n. 1, della direttiva 2002/58, occorre ricordare che, ai sensi di tale disposizione, gli Stati membri possono adottare disposizioni legislative volte a limitare la portata, in particolare, dell’obbligo di garantire la riservatezza dei dati sul traffico qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica e per la prevenzione, la ricerca, l’accertamento ed il perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica, come prevede l’art. 13, n. 1, della direttiva 95/46”. 50 “L’art. 15, n. 1, della direttiva 2002/58 offre quindi agli Stati membri la possibilità di prevedere deroghe all’obbligo di principio, ad essi incombente ai sensi dell’art. 5 della stessa direttiva, di garantire la riservatezza dei dati personali”. 53 “Tuttavia, non si può non constatare che l’art. 15, n. 1, della direttiva 2002/58 conclude l’elenco delle suddette deroghe facendo espresso riferimento all’art. 13, n. 1, della direttiva 95/46. Ebbene, anche quest’ultima disposizione autorizza gli Stati membri a adottare disposizioni intese a limitare la portata dell’obbligo di riservatezza dei dati personali qualora tale restrizione sia necessaria, tra l’altro, per la tutela dei diritti e delle libertà altrui. Poiché non precisano i diritti e le libertà che vengono in tal modo in questione, le dette disposizioni dell’art. 15, n. 1, della direttiva 2002/58 devono essere interpretate nel senso che esprimono la volontà del legislatore comunitario di non escludere dal loro ambito di applicazione la tutela del diritto di proprietà e delle situazioni in cui gli autori mirano ad ottenere tale tutela nel contesto di un procedimento civile”. 54 “Occorre pertanto constatare che la direttiva 2002/58 non esclude la possibilità, per gli Stati membri, di prevedere l’obbligo di divulgare dati personali nell’ambito di un procedimento civile”.

Appare utile ricordare che la stessa sentenza Promusicae è stata nuovamente citata dalla Corte nell’ordinanza datata 19 febbraio 2009, emessa all’esito del procedimento C‑557/07, Tele2 con cui si afferma che “Pertanto, allorché al punto 70 della citata sentenza Promusicae la Corte ha dichiarato che le direttive 2000/31, 2001/29, 2002/58 e 2004/48 non impongono agli Stati membri, in una situazione come quella oggetto della causa principale, di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile, essa non ha escluso, sic et simpliciter, la possibilità per gli Stati membri di stabilire un dovere di informazione a carico dei fornitore di accesso a Internet, in applicazione dell’art. 8, n. 1, della direttiva 2004/48” (punto 41).

[2] Al punto 61 della sentenza causa C‑461/10, Bonnier, si legge: “la direttiva 2006/24 dev’essere interpretata nel senso che non osta all’applicazione di una normativa nazionale, istituita sulla base dell’articolo 8 della direttiva 2004/48, la quale, ai fini dell’identificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa l’identità dell’abbonato al quale sia stato attribuito un indirizzo IP che sia servito ai fini della violazione di tale diritto, atteso che tale normativa non ricade nella sfera di applicazione ratione materiae della direttiva 2006/24; resta irrilevante, nella causa principale, la circostanza che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24 malgrado la scadenza del termine a tal fine previsto; le direttive 2002/58 e 2004/48 devono essere interpretate nel senso che non ostano ad una normativa nazionale, come quella oggetto della causa principale, nella parte in cui tale normativa consente al giudice nazionale, dinanzi al quale sia stata proposta, da parte di un soggetto legittimato ad agire, domanda di ingiunzione di comunicare dati di carattere personale, di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalità, i contrapposti interessi in gioco”.

[3]http://curia.europa.eu/juris/document/document.jsf?text=&docid=114613&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=410634

[4] Sentenza della Corte (Nona Sezione) del 18 gennaio 2017 nella causa C-427/15, NEW WAVE CZ, a.s. contro ALLTOYS, punto 27. Con tale decisione la Corte UE ha precisato che il diritto d’informazione previsto dall’art. 8 direttiva IPRED è un portato del più ampio diritto di cui all’art. 47 della Carta dei diritti fondamentali dell’Unione europea, in base al quale ogni individuo ha diritto a un ricorso effettivo alla tutela giurisdizionale, diritto declinato all’art. 17, par. 2, della medesima Carta dei diritti anche con riferimento alla tutela della proprietà intellettuale.

[5] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:51998PC0586

Il parere dell’Avvocato Generale UE nella Causa C-264/19 Constantin Film Verleih GmbH contro YouTube LLC: involuzione dell’esegesi della ratio sottesa alla c.d. direttiva enforcement (48/2004/CE)

Background

Lo scorso 2 aprile c.a. l’Avvocato Generale HENRIK SAUGMANDSGAARD ØE ha pubblicato il proprio parere sulla questione pregiudiziale sottoposta alla Corte di Giustizia dal Bundesgerichtshof (Corte federale di giustizia, Germania), relativa all’interpretazione dell’articolo 8, paragrafo 2, della direttiva 2004/48/CE e, nel dettaglio, afferente alla questione se gli indirizzi e-mail, i numeri di telefono e gli indirizzi IP utilizzati da utenti che senza la necessaria autorizzazione hanno caricato sulla piattaforma di video sharing “YouTube” opere audiovisive di terzi (i.e della Costantin Film) rientrino tra le informazioni ostensibili secondo la lettera della norma sopra citata.

Tale norma stabilisce che gli Stati membri assicurano che, nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, l’autorità giudiziaria competente possa ordinare che le informazioni sull’origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di proprietà intellettuale siano fornite dall’autore della violazione o da soggetti terzi che abbiano la disponibilità di tali informazioni. In particolare, la norma chiarisce che le dette informazioni comprendono “nome e indirizzo” dell’autore della violazione.

L’Avvocato Generale risponde negativamente alla questione posta dal Bundesgerichtshof: affermando che “un’interpretazione «dinamica» o teleologica di detta disposizione … deve essere esclusa in un contesto del genere” in quanto la norma oggetto di interpretazione “non offre un margine di interpretazione sufficiente … per includere le informazioni menzionate nelle questioni pregiudiziali”. A ritenere diversamente, sostiene l’Avvocato Generale, si finirebbe per ostacolare la tutela dei dati personali ridisegnando il delicato equilibrio voluto dal legislatore tra gli interessi contrapposti in gioco (quello del titolare dei diritti di proprietà intellettuale a conoscere i dati identificativi dell’autore diretto dell’illecito e quello della tutela dei dati personali dello stesso). In sostanza, stando all’interpretazione qui in commento, i termini “nome e indirizzo” non possono afferire che al “nome e all’indirizzo” fisico dell’autore della violazione.

Tale interpretazione della norma in commento non è condivisibile.

Il dato normativo

L’interprete sovranazionale ha evidentemente dimenticato che l’obiettivo della direttiva IPRED è quello di assicurare un livello elevato, equivalente ed omogeneo di protezione della proprietà intellettuale nel mercato interno (considerando 10) e proprio la direttiva dà atto del fatto che “la diffusione dell’uso di Internet permette una distribuzione immediata e globale dei prodotti pirata”. La domanda che probabilmente l’AG non si è posto è: quanti utenti della rete che pubblicano materiale illecito online forniscono il proprio nome (reale) e indirizzo fisico ai gestori di una video sharing platform (come YouTube)?

Nel fornire la soluzione in commento, bene avrebbe fatto l’AG a riesaminare la ratio che informa di se tutta la direttiva 2004/48/CE, finalizzata, nel suo complesso, a uniformare gli strumenti di tutela dei diritti di proprietà intellettuale, intervenendo lì dove “non sono previste misure, procedure e mezzi di ricorso come il diritto d’informazione o il ritiro, a spese dell’autore della violazione, delle merci controverse immesse sul mercato” (vd. considerando 7); lacune che, di fatto, “rendono impossibile assicurare che i diritti di proprietà intellettuale beneficino di un livello di tutela omogeneo su tutto il territorio della Comunità” (vd. considerando 8).

Allo scrivente pare evidente che il parere dell’AG non abbia considerato che una interpretazione formalistica del dato normativo si traduce in un pericoloso indebolimento del diritto sostanziale della proprietà intellettuale (circostanza che inevitabilmente comporta una perdita di fiducia degli operatori economici e, di conseguenza, una riduzione degli investimenti nella creazione di opere dell’ingegno): interpretazione che, nuovamente, ignora l’esplicito obiettivo del legislatore comunitario di “definire il campo di applicazione della presente direttiva nella misura più ampia possibile” (vd considerando 13), al punto da lasciare agli Stati membri il potere “di estendere per finalità interne le disposizioni della presente direttiva (anche ndr) ad atti di concorrenza sleale, comprese le copie pirata” (circostanza, quest’ultima, che ricorre nella fattispecie sottoposta all’esame dell’AG nel caso in esame).

Nessuna giustificazione può trovare la soluzione proposta dall’AG neppure alla luce del considerando 17 della direttiva IPRED: dove si legge che nel dare applicazione alle norme, e quindi anche alle “misure” previste dalla direttiva, l’interprete dovrà “tenere debitamente conto delle caratteristiche specifiche del caso” concreto. Ed è evidente che il “caso” concreto impone all’interprete una interpretazione evolutiva dal dato normativo.

Ma è il successivo considerando 21 ad apparire decisivo: nella misura in cui chiarisce che tra “le misure finalizzate a garantire un elevato livello di protezione” dei diritti in parola certamente è ricompreso il “diritto d’informazione, che consente di ottenere informazioni preziose … sull’identità di terzi coinvolti nella violazione”. Diritto di informazione che va necessariamente modulato alla luce dei casi e delle circostanze concrete (“a seconda dei casi e se le circostanze lo richiedono …”, considerando 24).

Orbene, se –come pretende l’AG- si impedisce al titolare di un diritto esclusivo di potere accedere a quei dati che, soli, garantiscono la reale identificabilità dell’autore diretto della violazione, quale tutela “elevata” ed effettiva sarà mai garantita ai diritti del soggetto leso?

La Comunicazione COM/2017/0708

Sul punto, dirimente appaiono i chiarimenti forniti dalla Commissione UE con la Comunicazione COM/2017/0708 dove si legge che qualsiasi ordine delle autorità giudiziarie a fornire le informazioni di cui all’articolo 8 della direttiva IPRED deve riguardare “soltanto le informazioni effettivamente necessarie per identificare” la fonte della violazione. Ciò discende, a parere della Commissione, dal presupposto di una richiesta giustificata e proporzionata di cui all’articolo 3 della stessa direttiva (in particolare, la prescrizione che le misure adottate devono essere leali ed eque, nonché non inutilmente complesse o costose, e che devono essere previste salvaguardie contro gli abusi).

La giurisprudenza della Corte UE

Dello stesso parere è anche la Corte di giustizia UE (procedimento C‑275/06, Promusicae, sentenza del 28 gennaio 2008), che ha ripetutamente chiarito che il diritto dell’Unione non osta a che gli Stati membri possano imporre l’obbligo di comunicare a determinati soggetti terzi privati dati di carattere personale relativi al traffico Internet al fine di permettere a tali soggetti di avviare un procedimento civile per violazione del diritto d’autore[1]. La Corte ha altresì affermato che tali norme non ostano all’applicazione di una normativa nazionale, istituita sulla base dell’articolo 8 della direttiva IPRED, la quale, ai fini dell’identificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa l’identità dell’abbonato al quale sia stato attribuito un indirizzo IP che sia servito ai fini della violazione di tale diritto. Una siffatta normativa nazionale, tuttavia, dovrebbe consentire al giudice nazionale di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalità, i contrapposti interessi in gioco[2]. Del resto in altro parere vertente su questione analoga a quella in commento, l’AG NIILO JÄÄSKINEN aveva fornito una soluzione che sembra andare in direzione opposta a quella qui in commento: “La direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, non si applica al trattamento di dati personali per fini diversi da quelli previsti all’articolo 1, paragrafo 1, di tale direttiva. Pertanto, la medesima direttiva non osta all’applicazione di una disposizione nazionale ai sensi della quale, in un procedimento civile e allo scopo di identificare un determinato abbonato, il giudice ingiunga ad un operatore Internet di fornire al titolare di diritti d’autore, o al suo avente diritto, informazioni sull’abbonato al quale l’operatore Internet abbia assegnato l’indirizzo IP in cui si sarebbe verificata la violazione del diritto”[3]. Sul piano processuale, la Corte UE ha inoltre chiarito che quanto specificato all’articolo 8 della direttiva IPRED, secondo cui può essere ordinato di fornire informazioni “nel contesto” dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale, significa che la messa a disposizione di tali informazioni non deve necessariamente essere ordinata in questi stessi procedimenti, bensì può essere disposta anche in successivi procedimenti separati avviati in vista di un’eventuale azione di risarcimento. In funzione delle disposizioni del diritto nazionale applicabili, essa può essere ordinata anche in un momento precedente, mediante un’ingiunzione preliminare[4]

Come se non bastasse, il parere dell’AG in commento si pone anche in contrasto con le previsioni della Direttiva 2000/31/CE: in particolare il considerando 48 espressamente attribuisce agli Stati membri la possibilità “di chiedere ai prestatori di servizi, che detengono informazioni fornite dai destinatari del loro servizio, di adempiere al dovere di diligenza che è ragionevole attendersi da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite”. Appare di tutta evidenza che per poter “individuare e prevenire” attività illecite appare indispensabile poter disporre di informazioni che consentano anche la effettiva identificabilità dell’autore delle violazioni. E tale necessità, si badi, era già stato chiaramente identificato dal legislatore comunitario sin dalla prima formulazione della direttiva E-commerce: il paragrafo 2 dell’art. 15 prevedeva (ancora più chiaramente di quanto non avvenga nel testo finale della norma) che il divieto di sorveglianza generale “fa salva qualsiasi attività di sorveglianza, mirata e temporanea” allorché ciò sia necessario “a fini di prevenzione, ricerca, scoperta e punizione” di attività illecite[5]. Nuovamente, senza la possibilità di identificare realmente l’autore dell’illecito non potrà mai essere irrogata alcuna “punizione”.

L’esperienza delle corti italiane.

Il Tribunale delle Imprese di Roma ha ripetutamente riconosciuto il buon diritto del titolare di diritti autoriali ad ottenere dall’intermediario di servizi della società dell’informazione tutte le informazioni nella sua disponibilità inerenti l’autore diretto dell’illecito.

Tanto è avvenuto con provvedimento del 13.3.2019, R.g. n. 1923/2019 (RTI c. Cloudflare) con cui il Giudicante ha ordinato alla resistente (con provvedimento integralmente confermato in sede di reclamo) “di comunicare immediatamente alla S.p.A. Reti Televisive Italiane i dati identificativi richiesti e nella sua disponibilità per l’identificazione degli hosting provider e dei gestori dei portali indicati nelle pagine nn. 14 e 15 del ricorso e di quelli che, pur avendo denominazione in parte diversa, siano riconducibili agli stessi soggetti gestori”; condannando la società Cloudflare “al pagamento in favore della parte ricorrente della somma di € 1.000,00 per ogni giorno in cui dovesse manifestarsi la violazione della presente ordinanza esistenza del diritto qui azionato”.

Nuovamente, con sentenza del 2.10.2019, RG. n. 33915/2017 (RTI c. Bit Kitchen), l’Autorità adita “in accoglimento dell’istanza della parte attrice, (ha) ordinato alla convenuta di fornire all’attrice ogni informazione utile ad identificare gli utenti responsabili del caricamento dei contenuti audiovisivi oggetto della domanda sul portale Vid.me”.

In termini è la costante giurisprudenza del Tribunale delle Imprese di Milano che, con innumerevoli provvedimenti resi a far data dal gennaio 2019, ha costantemente ordinato ai fornitori di servizi di hosting, in sede cautelare, la disclosure delle informazioni nella loro disponibilità. I più recenti, in ordine di tempo, sono due ordinanze del 9 gennaio 2020 confermative di due decreti inaudita altera parte con cui è stato ordinato a una serie di hosting provider “di depositare presso la Cancelleria entro il termine stabilito per la costituzione in giudizio nota contenente le informazioni in loro possesso che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati, relativamente ai servizi “…” (nome, cognome, data di nascita, luogo di nascita e indirizzo di residenza, codice fiscale, ovvero ragione e sede sociale e numero di identificazione ai fini fiscali o di registrazione nel registro delle imprese, o analoghi, in caso di persona giuridica)”.

[1] Così stabilisce la sentenza ai punti 49, 50, 53 3 54: 49 “D’altra parte, per quanto attiene all’art. 15, n. 1, della direttiva 2002/58, occorre ricordare che, ai sensi di tale disposizione, gli Stati membri possono adottare disposizioni legislative volte a limitare la portata, in particolare, dell’obbligo di garantire la riservatezza dei dati sul traffico qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica e per la prevenzione, la ricerca, l’accertamento ed il perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica, come prevede l’art. 13, n. 1, della direttiva 95/46”. 50 “L’art. 15, n. 1, della direttiva 2002/58 offre quindi agli Stati membri la possibilità di prevedere deroghe all’obbligo di principio, ad essi incombente ai sensi dell’art. 5 della stessa direttiva, di garantire la riservatezza dei dati personali”. 53 “Tuttavia, non si può non constatare che l’art. 15, n. 1, della direttiva 2002/58 conclude l’elenco delle suddette deroghe facendo espresso riferimento all’art. 13, n. 1, della direttiva 95/46. Ebbene, anche quest’ultima disposizione autorizza gli Stati membri a adottare disposizioni intese a limitare la portata dell’obbligo di riservatezza dei dati personali qualora tale restrizione sia necessaria, tra l’altro, per la tutela dei diritti e delle libertà altrui. Poiché non precisano i diritti e le libertà che vengono in tal modo in questione, le dette disposizioni dell’art. 15, n. 1, della direttiva 2002/58 devono essere interpretate nel senso che esprimono la volontà del legislatore comunitario di non escludere dal loro ambito di applicazione la tutela del diritto di proprietà e delle situazioni in cui gli autori mirano ad ottenere tale tutela nel contesto di un procedimento civile”. 54 “Occorre pertanto constatare che la direttiva 2002/58 non esclude la possibilità, per gli Stati membri, di prevedere l’obbligo di divulgare dati personali nell’ambito di un procedimento civile”.

Appare utile ricordare che la stessa sentenza Promusicae è stata nuovamente citata dalla Corte nell’ordinanza datata 19 febbraio 2009, emessa all’esito del procedimento C‑557/07, Tele2 con cui si afferma che “Pertanto, allorché al punto 70 della citata sentenza Promusicae la Corte ha dichiarato che le direttive 2000/31, 2001/29, 2002/58 e 2004/48 non impongono agli Stati membri, in una situazione come quella oggetto della causa principale, di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile, essa non ha escluso, sic et simpliciter, la possibilità per gli Stati membri di stabilire un dovere di informazione a carico dei fornitore di accesso a Internet, in applicazione dell’art. 8, n. 1, della direttiva 2004/48” (punto 41).

[2] Al punto 61 della sentenza causa C‑461/10, Bonnier, si legge: “la direttiva 2006/24 dev’essere interpretata nel senso che non osta all’applicazione di una normativa nazionale, istituita sulla base dell’articolo 8 della direttiva 2004/48, la quale, ai fini dell’identificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa l’identità dell’abbonato al quale sia stato attribuito un indirizzo IP che sia servito ai fini della violazione di tale diritto, atteso che tale normativa non ricade nella sfera di applicazione ratione materiae della direttiva 2006/24; resta irrilevante, nella causa principale, la circostanza che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24 malgrado la scadenza del termine a tal fine previsto; le direttive 2002/58 e 2004/48 devono essere interpretate nel senso che non ostano ad una normativa nazionale, come quella oggetto della causa principale, nella parte in cui tale normativa consente al giudice nazionale, dinanzi al quale sia stata proposta, da parte di un soggetto legittimato ad agire, domanda di ingiunzione di comunicare dati di carattere personale, di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalità, i contrapposti interessi in gioco”.

[3]http://curia.europa.eu/juris/document/document.jsf?text=&docid=114613&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=410634

[4] Sentenza della Corte (Nona Sezione) del 18 gennaio 2017 nella causa C-427/15, NEW WAVE CZ, a.s. contro ALLTOYS, punto 27. Con tale decisione la Corte UE ha precisato che il diritto d’informazione previsto dall’art. 8 direttiva IPRED è un portato del più ampio diritto di cui all’art. 47 della Carta dei diritti fondamentali dell’Unione europea, in base al quale ogni individuo ha diritto a un ricorso effettivo alla tutela giurisdizionale, diritto declinato all’art. 17, par. 2, della medesima Carta dei diritti anche con riferimento alla tutela della proprietà intellettuale.

[5] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:51998PC0586