Le case discografiche e cinematografiche basano le loro accuse contro gli utenti delle reti di file-sharing su dati personali forniti da terze parti. Cio’ e’ in linea con la disciplina europea della tutela dei dati personali?

La situazione attuale

E’ cronaca ormai quotidiana che i titolari di diritti d’autore («right holders»), rappresentati dalle associazioni di categoria, si scagliano violentemente contro gli utenti delle reti di file-sharing. Cio’ avviene secondo una metodologia non ben codificata, poiche’ e’ piuttosto recente l’attivita’ di autotutela e di denuncia che tali associazioni stanno portando avanti.

In sostanza, pero’, si puo’ affermare che sono due le direttrici sulle quali esse si muovono per individuare gli autori delle violazioni delle norme sul copyright.

In primo luogo, molte organizzazioni di categoria si sono dotate di esperti tecnici che compiono un’attivita’ di monitoraggio delle numerose reti di peer-to-peer, cercando di individuare nella maniera piu’ precisa possibile gli utenti, per poi citarli in giudizio; in secondo luogo, le associazioni impongono ai provider, che danno connettivita’ ai presunti criminali, di fornire i nomi di questi soggetti. Sia nel primo sia nel secondo caso, e’ lunga e difficoltosa l’attivita’ svolta dai titolari dei diritti e molto spesso non si ottengono i risultati sperati. Molti insuccessi sono dovuti non solo ai differenti ordinamenti giuridici in cui ci si trova a operare, ma anche alle difficolta’ tecniche nell’ottenimento dei nomi. I software di file-sharing, infatti, sono sempre in fase di miglioramento e di crescita, al fine di realizzare appunto applicazioni che consentano il piu’ alto livello di anonimato per i propri utenti.

L’ultima generazione di software di questo genere e’ BitTorrent, un’applicazione che permette una maggiore irrintracciabilita’ per i suoi utilizzatori e l’assenza di una interfaccia per la ricerca dei file da scaricare. Per giungere a un determinato materiale, infatti, si deve accedere a pagine web che elencano i nomi dei vari file. Queste pagine non contengono altro che un link che indirizza BitTorrent a trovare la risorsa fra tutti gli utenti collegati.

Anche questo nuovissimo sistema e’ stato recentemente colpito dalle associazioni dei titolari dei diritti. Proprio in questi giorni e’ stato chiuso un sito web (LokiTorrent.com) che elencava i link di cui si e’ appena parlato.

La Motion Picture Association of America (MPAA), in rappresentanza degli studios di Hollywood, ha agito in giudizio contro il proprietario del sito, Edward Webber, che e’ stato condannato dal giudice della Corte di Dallas al pagamento di un milione di dollari. Oltre a questo pesante risarcimento danni, la Corte ha ordinato al proprietario del sito di fornire i log dei download archiviati. In tal modo la MPAA e’ riuscita a ottenere un vero e proprio «host server», contenente i dati relativi a 750.000 utenti ed allo scambio di circa 35.000 film e canzoni.

I dati degli utenti – Il caso Verizon

Al di la’ di questo recente caso giudiziario, pero’, i titolari dei diritti – come si diceva poc’anzi – trovano molteplici difficolta’ nell’ottenere i nomi degli utenti dai provider.

Negli USA, pero’, gia’ da qualche tempo si fa riferimento a una disposizione del Digital Millennium Copyright Act che permette a chi ne abbia interesse di ottenere i nomi degli utenti dei provider. E’ prevista nella sezione 512 (h) del DMCA, infatti, una particolare disciplina che permette ai titolari di diritti d’autore di obbligare il provider a fornire i nomi degli utenti che violano il copyright in rete.

Tale normativa ha come presupposto (di fatto) la conoscenza almeno dell’indirizzo IP del presunto pirata. Infatti, il titolare di diritti deve dare al provider una serie di informazioni in modo tale che quest’ultimo si attivi per svelare l’identita’ dell’utente.

Questa tecnica e’ stata utilizzata per la prima volta nel 2002 dalla Recording Industry Association of America (RIAA), che ha ottenuto (nel gennaio 2003) la collaborazione (forzata) della societa’ Verizon. Il giudice John D. Bates della Corte Distrettuale della Columbia ha stabilito che la Verizon dovesse rivelare il nome di un utente che, attraverso il servizio di peer-to-peer KaZaA e i network della societa’ telefonica americana, avrebbe scaricato una lista di circa 600 canzoni protette.

Questo escamotage giuridico, pero’, non e’ stato accettato dalla Corte d’Appello cui ha fatto ricorso la Verizon, che lamentava una seria violazione della c.d. privacy dei propri clienti.
Nel dicembre 2003, infatti, la Corte d’Appello sempre del Distretto della Columbia ha precisato che la RIAA non aveva il diritto di ottenere simili dati dai fornitori di servizi Internet.

La Corte ha chiarito che il DMCA non permette ai titolari di diritti d’autore di obbligare un ISP solo perche’ l’utente incriminato accede a Internet tramite un suo servizio di connettivita’. Il giudice Douglas Ginsburg ribadisce, comunque, che sono pienamente comprensibili le preoccupazioni della RIAA riguardo alle enormi violazioni del copyright poste in essere dai navigatori, ma non e’ il compito della Corte riscrivere il DMCA in modo da adattarlo a una realta’ nuova come quella dei programmi di file-sharing. Il DMCA non disciplina queste applicazioni, poiche’ questa tecnologia non era ancora usata allorquando la legge entro’ in vigore nel 1998. Il DMCA permette ai titolari di citare gli ISP quando il materiale incriminato risiede sui loro server, ma non riguarda l’attivita’ dei clienti degli ISP.

La RIAA ha cercato successivamente di impugnare questa decisione di fronte alla Corte Suprema degli Stati Uniti, ma quest’ultima ha rifiutato di prendere in esame il caso (ottobre 2004).

In pratica viene confermata la situazione attualmente esistente: la RIAA puo’ avanzare le proprie denunce solo verso utenti anonimi identificati da semplici indirizzi IP. Per risalire alle generalita’ di questi soggetti e’ necessaria una sentenza di condanna che diviene cosi’ il lasciapassare per accedere agli archivi ove gli ISP tengono traccia degli accessi alla Rete da parte dei propri utenti.

La situazione attuale, dunque, vede le associazioni di categoria radicare numerosi giudizi contro utenti identificati solo con il numero IP. Queste vertenze sono comunemente chiamate «John Doe lawsuits», poiche’ si utilizza il nome generico John Doe in mancanza del vero nome di ciascun utente incriminato.

Il Working Party europeo per la tutela dei dati personali

Il caso giudiziario che ha visto coinvolta la Verizon e’ uno degli esempi che il Working Party europeo per la tutela dei dati personali porta all’attenzione di tutti per far comprendere il delicato rapporto fra diritti dei «right holders» e tutela dei dati personali.

Il Working Party europeo per la tutela dei dati personali e’ un organo indipendente previsto dall’articolo 29 della direttiva 95/46/CE per la tutela, appunto, dei dati personali. Il WP ha recentemente rilasciato un documento proprio sulla protezione dei dati relativi ai diritti di proprieta’ intellettuale (WP 104 del 18/01/2005).

Il documento viene rilasciato allo scopo di illustrare a tutti i «right holders» che il trattamento dei dati da parte di questi ultimi e’ regolato dai principi europei sulla tutela dei dati personali. Il WP nota che i titolari di diritti ottengono i dati degli utenti secondo varie modalita’: oltre a quella gia’ citata della collaborazione (anche forzata) con gli ISP, vi e’ la prassi di consultare i registri pubblici «Whois» per venire a capo delle informazioni personali di chi gestisce un determinato sito web.

Cio’ comporta, in sostanza, un trattamento di dati personali, che il WP ritiene debba seguire comunque i principi in materia di privacy.

I principi

Innanzitutto, i «right holders» devono ottemperare a un principio di compatibilita’. I dati come l’orario e la data della possibile violazione, la natura del documento protetto, lo pseudonimo dell’utente, ecc. sono pubblicamente disponibili. La tentazione e’ quella di collezionare questi dati con altri dettagli aggiuntivi che possono essere trovati con l’aiuto degli ISP o di database come il citato «Whois». Il WP insiste sul fatto che i dati contenuti nei database, pubblici o non, possono essere trattati e utilizzati solo per lo scopo per cui sono stati collezionati inizialmente. Per quanto concerne il Whois, il WP ha gia’ precisato nel suo parere del 13 giugno 2003 che «da un punto di vista della protezione dei dati e’ essenziale determinare in maniera chiara quale sia lo scopo del Whois e quali obiettivi possono essere considerati legittimi e compatibili con gli scopi originari del trattamento.
Questa e’ una materia estremamente delicata e si deve precisare che lo scopo dei database «Whois» non puo’ essere esteso ad altri scopi solo perche’ sono considerati appetibili da potenziali utenti».
La conclusione e’ che, in ottemperanza al principio di compatibilita’ e a quello di confidenzialita’ di cui alle direttive 2002/58/CE e 95/46/CE, i dati detenuti dagli ISP e utilizzati per scopi specifici come la gestione di servizi di telecomunicazioni non possono essere trasferiti a terzi soggetti come i «right holders», tranne che, nei casi specificamente indicati dalla legge, alle autorita’ pubbliche.

Per quanto concerne il ruolo degli ISP, il WP precisa che non sono obbigati a fornire, su generica richiesta di taluno, i dati di traffico degli utenti e, per di piu’, che queste informazioni devono essere conservate per il minor tempo possibile.

Infine, un’ulteriore riflessione deve essere svolta per quanto riguarda il trattamento dei dati giudiziari. Il WP precisa che il trattamento di queste informazioni puo’ essere svolto legittimamente da chi sia coinvolto, come parte, nello specifico giudizio, ma questo principio non si applica anche a terzi soggetti che svolgono attivita’ investigative private su dati personali, in particolare attraverso ricerche sistematiche sulla rete Internet o sui dati detenuti dagli ISP o sui registri «Whois». Queste ricerche, conclude il WP, sono e devono restare di competenza solo delle autorita’ giudiziarie.

Prospettive future

Il documento del WP ha un carattere estremamente forte e sicuramente non sara’ ben visto da tutte le associazioni di categoria che lottano quotidianamente contro i pirati del web.

La peculiarita’ di questo documento, pero’, e’ quella di essere pienamente aderente al dettato normativo che sin dal 1995 l’Unione Europea porta avanti, affinche’ si realizzi un corretto trattamento dei dati personali. Questa analisi di stretto diritto non puo’ non nascondere, dunque, le «sbavature» che le attivita’ di tali associazioni pongono in essere quotidianamente. L’obiettivo di questo documento, comunque, non e’ quello di criticare e ostacolare tout court le iniziative dei «right holders», ma semplicemente quello di far capire a questi soggetti che la tutela dei propri diritti deve essere espletata con modalita’ conformi ai principi in materia di trattamento dei dati personali. Da questa necessita’, che e’ un obbligo di legge, non si puo’ prescindere. Per questo motivo il WP invita i titolari a ricercare nuove modalita’ che permettano di raggiungere gli stessi obiettivi (individuazione dei presunti pirati) con strumenti piu’ trasparenti e piu’ adeguati ai principi in materia di c.d. privacy.

Gli interessati possono inviare i propri commenti entro il 31 marzo prossimo.

Scritto da