Articoli

Il parere dell’Avvocato Generale UE nella Causa C-264/19 Constantin Film Verleih GmbH contro YouTube LLC

Avv. Alessandro La Rosa

Lo scorso 2 aprile c.a. l’Avvocato Generale HENRIK SAUGMANDSGAARD ØE ha pubblicato il proprio parere sulla questione pregiudiziale sottoposta alla Corte di Giustizia dal Bundesgerichtshof (Corte federale di giustizia, Germania), relativa all’interpretazione dell’articolo 8, paragrafo 2, della direttiva 2004/48/CE e, nel dettaglio, afferente alla questione se gli indirizzi e-mail, i numeri di telefono e gli indirizzi IP utilizzati da utenti che senza la necessaria autorizzazione hanno caricato sulla piattaforma di video sharing “YouTube” opere audiovisive di terzi (i.e della Costantin Film) rientrino tra le informazioni ostensibili secondo la lettera della norma sopra citata.

Tale norma stabilisce che gli Stati membri assicurano che, nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, l’autorità giudiziaria competente possa ordinare che le informazioni sull’origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di proprietà intellettuale siano fornite dall’autore della violazione o da soggetti terzi che abbiano la disponibilità di tali informazioni. In particolare, la norma chiarisce che le dette informazioni comprendono “nome e indirizzo” dell’autore della violazione.

L’Avvocato Generale risponde negativamente alla questione posta dal Bundesgerichtshof: affermando che “un’interpretazione «dinamica» o teleologica di detta disposizione … deve essere esclusa in un contesto del genere” in quanto la norma oggetto di interpretazione “non offre un margine di interpretazione sufficiente … per includere le informazioni menzionate nelle questioni pregiudiziali”. A ritenere diversamente, sostiene l’Avvocato Generale, si finirebbe per ostacolare la tutela dei dati personali ridisegnando il delicato equilibrio voluto dal legislatore tra gli interessi contrapposti in gioco (quello del titolare dei diritti di proprietà intellettuale a conoscere i dati identificativi dell’autore diretto dell’illecito e quello della tutela dei dati personali dello stesso). In sostanza, stando all’interpretazione qui in commento, i termini “nome e indirizzo” non possono afferire che al “nome e all’indirizzo” fisico dell’autore della violazione. Evidentemente l’interprete ha dimenticato che l’obiettivo della direttiva in parola è quello di assicurare un livello elevato, equivalente ed omogeneo di protezione della proprietà intellettuale nel mercato interno (considerando 10) e proprio la direttiva dà atto del fatto che “la diffusione dell’uso di Internet permette una distribuzione immediata e globale dei prodotti pirata”. La domanda che probabilmente l’AG non si è posto è: quanti utenti della rete che pubblicano materiale illecito online forniscono il proprio nome (reale) e il proprio indirizzo fisico al gestore di una video sharing platform?

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Data Breach: colpiti Google, il Bundestag e Town of salem

Avv. Vincenzo Colarocco

L’anno nuovo è appena cominciato ma continuano a segnalarsi continue violazioni sui dati personali. Questo primo scorcio di 2019 appare sin da subito funestato dal fenomeno “data breach” che, in maniera così rilevante, aveva segnato l’intero anno appena trascorso (per un approfondimento sui data breach più significativi del 2018 si può consultare questo interessante contributo del “Sole 24 Ore”). Tra il 2 ed il 3 gennaio, infatti, si sono verificati una serie di attacchi hacker mirati a colpire titolari dei dati estremamente eterogenei tra loro, con conseguenze assai rilevanti per gli interessati colpiti.

La prima violazione in esame ha coinvolto oltre 7 milioni di utenti del gioco online Town of salem. A divulgare la notizia del breach è stato DeHashed, motore di ricerca di violazioni di dati e deputato al monitoraggio degli attacchi compiuti verso database e perdite di dati conseguenti ad attacchi hacker sul web. L’informazione è stata confermata dalla Blank Media Games (“BMG”), azienda sviluppatrice del videogioco, la quale conferma che, come risultato dalle prime analisi, i dati trafugati includerebbero nomi utente, e-mail, password, indirizzi IP, attività di gioco svolte, messaggi postati nel forum del sito e informazioni relative ai pagamenti. Assieme al rischio cui sono inevitabilmente esposte le informazioni sui pagamenti degli utenti (non è da escludersi, in particolare, la possibilità che tali dati possano essere utilizzati dai cybercriminali per compiere truffe online), un’altra delicata criticità riguarda la giovane età degli utenti coinvolti (tenuto conto del fatto che nella propria policy la stessa BMG afferma che il sito e il gioco non sono rivolti ai bambini inferiori a 13 anni di età”). A sfavore delle rassicurazioni fornite dagli sviluppatori del gioco, si denota inoltre un livello di sicurezza non adeguato per trattare i dati di milioni di utenti stante l’utilizzo del prefisso “http”, indicante il vecchio protocollo di connessione, oramai considerato non più sicuro per la trasmissione dei dati personali.

Un altro attacco è stato subìto, invece, da Google e, più precisamente, dai prodotti dell’azienda muniti di tecnologia Chromecast incorporata. Due pirati informatici hanno preso il controllo dei dispositivi connessi, con l’intento di far girare il video del noto youtuber “PewDiePie”. L’azione in questione, denominata dai propri autori “CastHack”, ha avuto l’obiettivo di mostrare la vulnerabilità della smart home. Gli stessi hacker coinvolti hanno spiegato che, una volta individuati i dispositivi da “attaccare”, questi hanno cambiato il nome wifi del device e ne hanno assunto il controllo dando l’input di trasmettere il video in questione sulle smart Tv degli utenti connessi. Gli hacker che hanno rivendicato il descritto attacco hanno comunque assicurato che non utilizzeranno le informazioni di cui sono entrati in possesso.

L’ultima violazione dei dati personali in esame, probabilmente la più rilevante, ha colpito centinaia di politici tedeschi, tra cui la Cancelliera Angela Merkel, attraverso la sottrazione – e successiva ripubblicazione tramite un account Twitter – di mail, chat, dati personali, numeri di telefono, indirizzi e documenti privati degli utenti coinvolti. Oltre a colpire esponenti di quasi tutti i partiti rappresentati al Bundestag, il medesimo attacco ha coinvolto anche personaggi dello spettacolo, musicisti e giornalisti. Non è comunque ancora stato chiarito se queste mail contengano informazioni sensibili né ci sono conferme sulla veridicità dei dati pubblicati. Anche con riguardo ai responsabili si brancola nel buio.

Per quanto un’armonizzazione a livello intercontinentale sia ancora lontana, si auspica che episodi del genere divengano presto solo un ricordo e che vengano fronteggiati  adeguatamente mediante idonee misure di sicurezza al fine di garantire un’appropriata protezione inerente il trattamento dei dati sul web.