L’espressione anglosassone “internet service provider” (comunemente abbreviata in “ISP” o in “provider”) viene tradotta in italiano come “fornitore di servizi all’interno della società dell’informazione”. Si considerano ISP i soggetti che esercitano un’attività di prestatore di servizi della società dell’informazione, offrendo connessione, trasmissione e immagazzinamento dei dati, ovvero ospitando un sito sulle proprie apparecchiature o ancora una struttura commerciale o un’organizzazione che offre agli utenti, dietro la stipulazione di un contratto, la fornitura di prodotti inerenti Internet, i principali dei quali sono l’accesso alla rete e la posta elettronica.
A tal riguardo la disciplina contenuta tanto nella Direttiva 2000/31([1]) “relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno – Direttiva sul commercio elettronico” quanto nel D. Lgs. 70/2003([2]) “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno”, hanno individuato quattro attività tipiche del fornitore di servizi: “semplice trasporto – mere conduit”, “memorizzazione temporanea – caching” ed infine “hosting”.
Il legislatore ha sottolineato l’assenza di un obbligo generale di monitoraggio dei contenuti, affermando una responsabilità, nel caso di attività di hosting, qualora quest’ultimo “non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.
All’interprete del diritto viene spesso domandato come debba essere inquadrato un fornitore di servizi nell’ottica di un trattamento di dati personali anche alla luce delle recenti normative in ambito privacy: il GDPR (Regolamento europeo 679/2016)([3]) ed il “nuovo” Codice della privacy([4]). Nell’esercizio delle proprie mansioni, il fornitore di servizi, indipendentemente dal tipo di attività che ricopre (ovviamente il fornitore che esercita un’attività hosting provider, memorizzando i dati, potrebbe avere la possibilità di effettuare trattamenti più complessi per modalità e finalità rispetto a chi presta un servizio di mere conduit) si ritrova molto spesso a trattare dati raccolti dal soggetto che richiede la fornitura di tali servizi, ovvero di terzi.
Partendo quindi dalla definizione di trattamento di cui all’articolo 4 del Regolamento 679/2016 intesa come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” risulta importante sottolineare che un fornitore di servizi, nell’ambito dell’esercizio delle proprie mansioni, oltre a trattare dati personali in qualità di titolare del trattamento (per tutti i trattamenti di cui definisce le finalità e modalità) potrà trovarsi, in un rapporto di responsabilità del trattamento, a trattare dati per conto del soggetto che gli commissiona la fornitura dei servizi.
Il fornitore di servizi, in qualità di responsabile, dovrà quindi trattare dati personali soltanto su istruzione documentata del titolare del trattamento, ossia del soggetto che richiede la fornitura di tali servizi. A tal riguardo, i trattamenti effettuati da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile al titolare e che definisca la materia disciplinata e la durata del trattamento, la natura e la sua finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico deve prevedere, in particolare, che il responsabile del trattamento:
Come già anticipato, i trattamenti effettuati da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri.
Risulta quindi di fondamentale importanza sottolineare che l’atto volto a disciplinare il rapporto di responsabilità esterna tra soggetto che richiede la fornitura dei servizi ed il fornitore di questi, deve essere un contratto o comunque un atto giuridico che vincoli il responsabile.
Il contratto rientra nella fattispecie di negozio giuridico ossia un atto umano consapevole e volontario, consistente in una manifestazione di volontà e produttivo di effetti giuridici. Un contratto, secondo la dottrina prevalente, si particolareggia nello schema proposta accettazione.
Per proposta si intende un atto unilaterale recettizio che produce i suoi effetti dal momento in cui la controparte ne giunge a conoscenza. Anche l’accettazione è un atto unilaterale recettizio mediante il quale la controparte manifesta la volontà di aderire o meno all’altrui proposta.
Si assiste purtroppo molto spesso alla prassi di considerare il contratto di designazione a responsabile del trattamento come un atto unilaterale, di natura recettizia, tale per cui la nomina è redatta dal titolare ed imposta al responsabile. Questa impostazione è evidentemente del tutto errata.
In primo luogo bisogna considerare che parte della dottrina e della giurisprudenza afferma un principio di tipicità degli atti unilaterali, mentre in seconda istanza in tema di contratti con obbligazioni del solo proponente, la giurisprudenza ritiene che l’art. 1333 c.c. sia applicabile anche ai contratti con effetti traslativi da una sola parte, a condizione che si tratti di attribuzioni traslative che non comportino alcun onere od obbligo a carico del beneficiario; la presenza di un pregiudizio anche solo potenziale impone la necessaria accettazione del destinatario (cfr, inter alia, Cassazione civile sez. II, 18/06/2018, n.15997).
Nessun atto di nomina imposto dunque, ma un accordo tra le parti. Da chi deve essere redatto? Abbiamo assistito a varie prassi, ma nella realtà non esiste una regola scritta definita; potrà dunque essere proposto indifferentemente dal titolare o dal responsabile. Per quanto riguarda gli ISP, bisogna valutare caso per caso. Un hosting con un numero limitato di clienti di alto profilo, che effettuano un trattamento di dati particolari, potrebbero pacificamente negoziare ogni singolo contratto, ovvero richiedere ai propri clienti delle bozze da cui partire, mentre hosting con numerosi clienti di piccole dimensioni, senza trattamenti a rischio, ben potrebbero proporre uno o più testi standard, sui quali chiedere un’accettazione anche mediante flagbox.
Ciascun fornitore di servizi dovrà quindi prestare estrema attenzione all’atto con cui viene disciplinato il rapporto di responsabilità esterna in modo da poter definire i limiti del perimetro di un trattamento lecito, nonché tutti gli aspetti legati all’ambito di responsabilità legale connessa a tale accordo.
Appare altresì consigliabile la revisione del contratto che istituisce il rapporto che sta alla base della nomina, in modo che vi sia una armonizzazione tra entrambi.
[1] Il testo integrale della Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»).
[2] Il testo integrale del decreto legislativo in attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico è disponibile online all’indirizzo http://www.camera.it/parlam/leggi/deleghe/03070dl.htm, sito web consultato in data 8 novembre 2018.
[3] Il testo integrale del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è disponibile in Internet all’indirizzo https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32016R0679, sito web consultato in data 8 ottobre 2018.
[4] Il testo integrale del nuovo codice della privacy è disponibile in Internet all’indirizzo http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg sito web consultato in data 17 settembre 2018.
Articolo a cura di Simone Bonavita e Andrea d’Anna
Nel panorama contemporaneo della sicurezza informatica, la progressiva evoluzione delle tecnologie quantistiche rappresenta una sfida…
La sicurezza informatica rappresenta un asse portante per la sostenibilità e l'innovazione delle imprese nell'economia…
Cos'è il Cyber Resilience Act (EU CRA)? E perché me ne dovrei occupare? Il Cyber…
L'utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa, che sfrutta binari legittimi…
Gli attacchi informatici non si fermano mai, colpendo con precisione chirurgica nei momenti di maggiore…
Veronica Leonardi (Chief Marketing Officer e Investor Relator di Cyberoo) ha preso parte al 22°…