data protection – Lorenzo Albertini

La telecamera sulla pubblica viola la privacy solo se supera le necessità di tutela

Sull’annosa questione del bilanciamento tra diritto alla privacy dei terzi (qui di un vicino costretto a percorrere quel tratto di strada) e di difesa della proprietà in capo al prorietario, interessante è l’insegnamento di Cass. Sez. I, Ord. 19 marzo 2024 n. 7.289, rel. Tricomi (anteriore alle modifiche cod. priv. ex GDPR, però).

Vale la pena di riportare tutti i passaggi pertinenti:

<<3.3.2. – Come osservato dal Garante per il trattamento dei dati personali nel Provvedimento dell’8 aprile 2010, il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica; al riguardo si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali.

La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini configurano anche autonomamente considerate, forme di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione. [ovvio] (…)

Inoltre, è necessario:

– che il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei “presupposti di liceità” che il Codice prevede espressamente per i soggetti pubblici (svolgimento di funzioni istituzionali: artt. 18-22 del Codice) e per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi”, consenso libero ed espresso ex artt. 23-27 del Codice).

– che sia rispettato il “principio di necessità” ex art.3 del Codice, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l’utilizzazione di dati personali;

– che l’attività di videosorveglianza venga effettuata nel rispetto del c.d. “principio di proporzionalità” nella scelta delle modalità di ripresa e dislocazione degli apparecchi, nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

3.3.3. – Ne consegue che, a differenza di quanto sostiene il ricorrente, l’utilizzo di sistemi di video sorveglianza può determinare, in relazione al posizionamento degli apparecchi e della qualità delle immagini un trattamento di dati personali, quando, può mettere a rischio la riservatezza di soggetti portatori di una situazione giuridica soggettiva riconosciuta dall’ordinamento e deve essere effettuato nel rispetto dei principi prima ricordati.

3.3.4.- Va ulteriormente rimarcato, tuttavia, che la disciplina del Codice non trova integrale applicazione nel caso di “trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali” qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi: tanto è previsto dall’art. 5, comma 3 del Codice, che si premura di sottolineare che, anche in tale ipotesi, resta ferma l’applicazione della disposizione in tema di responsabilità civile e necessaria l’adozione di cautele a tutela della sicurezza dei dati, di cui agli artt. 15 e 31 del Codice.

Segnatamente, l’art. 15 prevede espressamente la risarcibilità del danno, anche non patrimoniale, ai sensi dell’art.2050 c.c. per effetto del trattamento dei dati personali, compreso il caso di violazione delle disposizioni su modalità di trattamento e requisiti dei dati (art. 11 del Codice); l’art. 31 stabilisce ampi obblighi di sicurezza nel trattamento e nella custodia dei dati.

In particolare, possono rientrare nell’ambito descritto dall’art. 5, comma 3, del Codice gli strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all’interno di condomini e loro pertinenze (quali posti auto e box), con la precisazione che, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini, come chiarito dallo stesso Garante nel Provvedimento dell’8 aprile 2010, al par. 6.1. “Trattamento di dati personali per fini esclusivamente personali”.

3.3.5. – Di contro, nel caso di “Trattamento di dati personali per fini diversi da quelli esclusivamente personali”, anche ad opera di un privato (par.6.2. del Provvedimento dell’8 aprile 2010) il trattamento può essere effettuato solo ove sia stato espresso il consenso preventivo dell’interessato (art.23 del Codice) oppure se ricorra uno dei presupposti di liceità previsti dall’art. 24 del Codice in alternativa al consenso.

In merito, il Garante, dopo avere preso atto che nel caso di impiego di strumenti di videosorveglianza la possibilità di acquisire il consenso risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione, ha ritenuto di dare attuazione all’istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) procedendo all’individuazione dei casi in cui la rilevazione delle immagini, con esclusione della diffusione, può avvenire senza consenso, qualora, con le modalità stabilite nello stesso provvedimento, sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Segnatamente, il Garante ha distinto due ipotesi, per le quali ha escluso la necessità del consenso preventivo informato, avendo attuato il bilanciamento degli interessi ai sensi dell’art.24, comma 1, lett. g) del Codice:

– I) Videosorveglianza (con o senza registrazione delle immagini). Tali trattamenti sono ammessi in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), resta fermo che il trattamento debba essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).

– II) Riprese nelle aree condominiali comuni, qualora i trattamenti siano effettuati dal condominio (anche per il tramite della relativa amministrazione).

3.3.6.- In sintesi, per quanto interessa il presente procedimento, e in relazione alla normativa applicabile ratione temporis, va affermato che:

– In tema di tutela dei dati personali trattati mediante l’impiego di sistemi di videosorveglianza, il trattamento posto in essere ad opera di un soggetto privato deve rispettare i presupposti di liceità previsti dal D.Lgs. n. 196/2003, il principio di necessità ed il principio di proporzionalità;

– La disciplina derogatoria di cui all’art .5, comma 3, del D.Lgs. n. 196/2003 è applicabile al trattamento dei dati mediante sistemi di videosorveglianza solo nel caso in cui il trattamento sia eseguito da persona fisica a fini personali e senza diffusione o comunicazione dei dati, entro un ambito operativo circoscritto, in linea di massima e in via esemplificativa, mediante strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati o sistemi di ripresa installati nei pressi di immobili privati o all’interno di condomini, il cui angolo visuale di ripresa sia comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni ad altri soggetti;

– Il trattamento di dati personali mediante sistemi di videosorveglianza (con o senza registrazione delle immagini) per fini diversi da quelli esclusivamente personali ad opera di un privato, nel caso in cui sia effettuato in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale (principio di necessità), non richiede quale presupposto di liceità il consenso informato dell’interessato, in quanto ricorre il presupposto di liceità alternativo ex art. 24, comma 1, lett. g) del D.Lgs. n. 196/2003, costituito dal provvedimento di bilanciamento degli interessi adottato dal Garante in data 8 aprile 2010 (par.6.2.2.1.); resta fermo, in osservanza del principio di proporzionalità, che l’utilizzo delle apparecchiature volte a riprendere aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), deve essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti, in uso a terzi o su cui terzi vantino diritti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)>>.

Si v. ora, dopo il GDPR, le linee guida europee dell’EDPB 29.01.2020 e l’infografica 2022 del ns. Garante:

Trasferimento dati a paese terzo (art. 45 e 46 GDPR): emesso l’executive order del Presidente USA che dovrebbe permettere la compliance alla normativa UE

Spediti verso il completamento del EU- US data privacy framework.

Emesso l’esecutive order (N. 14.086) nell’ottobre u.s. dal Presidente Biden, occasionato dagli artt. 45 e 46 GDPR e dalle sentenze Schrems I e II della corte di giustizia ( Executive Order 14086 of October 7, 2022, Enhancing Safeguards for United States Signals Intelligence Activities)

Si v. ora il briefing del Parlamento UE “Reaching the EU-US Data Privacy Framework: First reactions to Executive Order 14086” del 14 dicembre 2022.

Le coordinate bancarie IBAN costituiscono “dato persponale”

Secondo Cass. 19.02.2021 n. 4475, rel. Campese, le coordinate IBAN costituiscono <dato personale> ai sensi della disciplina privacy.
Nel caso specifico, un’assicurazione, risarcito il danno da infiltrazione ad un condomino per conto di altri condomino e proprio assicurato, aveva poi girato <<una stampa del sistema informativo interno della medesima compagnia nonchè un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN;>> a quest’ultimo (dal cui immobile erano provenute le infiltrazioni).

Il condomino/assicurato poi produceva tale documento in assemblea condominiale.

Per la S.C. :

a) l’IBAN è dato personale (§ 2.4, sostanzialmente immotivato);

b) non rende lecito il trattamento (cioè l’aver girato tale documento al suo assicurato) il dovere contrattuale di renderlo edotto del pagamento eseguito e di dargli copia del relativo documento probatorio: poteva infatti oscurarne l’IBAN (§ 2.5.2 e § 2.5.2.1).

La sentenza non convince.

Circa 1) la lamentata pubblicità del dato, reso pubblico dalla produzione in assemblea, prevede appunto anche quest’ultimo elemento, che è però riconducibile solo al condomino/assicurato (non all’assicurazione). La SC non valorizza tale circostanza.

Inoltre andrebbe precisato che l’IBAN costituisce dato personale solo se abbinato ad un nome, non da solo (nel qual caso nessuna riconoscibilità è possibile).

Circa 2) , è dubbio che il documento con IBAN oscurato sia prova sufficiente per l’assicurato. Se il danneggiato contestasse di aver ricevuto il risarcimento, come protrebbe provarlo il condominuo responsabile/assicurato? Gli servirebbe la contabile bancaria di versamento (che contiene l’IBAN). Tra l’altro, nel caso non c’è nemmeno l’azione diretta verso la compagnia, come nella RC auto.

La SC dispone l’oscuramento della sentenza ex art. 52 cod. priv. (d’ufficio, pare, non essendo specificata istanza di parte)

La fattispecie storica è anteriore al GDPR.

sentenza milanese sul diritto all’oblio verso Google

Trib. Milano 24.01.2020, sent. 4911/2019-RG 12255/2018 , decide una domanda di deindicizzazione verso Google.

Nel caso specifico l’istante, ottenuta una sentenza penale di diffamazione a carico di un terzo che l’aveva diffamato con post su internet, chiede a Google (G.) la deindicizzazione dal motore di ricerca di tali materiali.

La cronologia:

l’attore si accorge delle notizie lesive nel giugno 2011;
ottiene sentenza di condanna per diffamazione nel febbraio 2017;
fa istanza a G. di deindicizzazione nel maggioo 2016 e poi tramite legale nel febbraio 2017;
adisce il trib. MI nel febbraio 2018.

Adisce citando sia Google italy che Google LLC. Il primo però è ritenuto privo di legittimazione passiva, <<poichè il titolare del trattamento dei dati personali di cui parte attrice si duole è unicamente Google LLC>>, p. 5

Il Trib elenca le norme regolanti il caso, p. 9-10, tra cui figura la dir. 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Non figura direttamente il GDPR.

Il Trib. qualifica i motori di ricerca come banche dati di pagine reperite tramite i software c.d spiders, p. 13.

Non si applica la normativa sul safeharbour: <<Ritiene il Tribunale che la presente vicenda non possa trovare regolazione dalla normativa contenuta nel D. Lgs. n.70/03, che inerisce esclusivamente l’attività di memorizzazione di informazioni commerciali fornite daaltri. Oggetto del presente ricorso, invero, non è l’attività di host provider di Google in relazione alla formazione dei contenuti delle singole pagine web sorgente, ma la condotta posta in essere dal motore di ricerca in qualità di titolare del trattamento dei dati sottesa all’evocazione attraverso la semplice digitazione del nome e cognome dell’interessatodi tutti i siti in cui viene in risalto il preteso ruolo criminale del ricorrente attraverso un software messo a punto da Google e di cui quest’ultima si avvale per facilitare la ricerca degli utenti attraverso il suo motore di ricerca>> p. 14-15.

Il Trib. ribadisce che <<l’abbinamento dei siti al nome del ricorrente è frutto del sistema adottato da Google per scandagliare il web, copiare e immagazzinare i contenuti pubblicati dai siti sorgente, aggiornandoli, organizzare il materiale secondo chiavi di lettura in modo da rendere fruibile “worldwide” in tempo reale i contenuti relativi ad un soggetto, ad una data vicenda o ad argomento assegnati dall’utente nella stringa di ricerca; condotta da intendersi, dunque, comeprodotto di un’attività direttamente ed esclusivamente riconducibile, come tale, alla resistente. Ed è proprio questo il meccanismo di operatività del software messo a punto da Google che determina il risultato rappresentato dai possibili percorsi di ricerca, rendendo disponibili informazioni aggregate in grado di fornire agli utenti una profilazione dell’intera storia personale dell’interessato e che appaiono all’utente che inizia la ricerca digitando le parole chiave anche in relazione a settori potenzialmente differenti od estranei a quello oggetto della ricerca. Soprattutto, la capillarità della raccolta, la capacità di padroneggiare un numero potenzialmente illimitato di dati e notizie, la diffusività della propagazione del dato e delle notizie ad esso correlate costituiscono il valore aggiunto, autonomo da quello offerto dai siti sorgente, operato dal motore generale di ricerca>> p. 16

D’altro canto, il T. sottolinea che la rimozione a posteriori mediante de-indicizzazione dell’associazione dato personale/contenuti dei siti sorgente Google <<non impedisce la visualizzazione di contenuti immessi dagli utenti e non costituisce intromissione dell’hosting provider nei contenuti immessi nel sito dai siti sorgente (i cui titolari non venivano evocati nel presente giudizio), considerazione che consente di superare l’eccezione mossa da parte convenuta circa l’impossibilità (giuridica, non certo tecnica) di accedere e cancellare il testo veicolato in rete dal soggetto titolare del singolo sito informatico.

Va dunque ribadito che la deindicizzazione non comprime in alcun modo la libertà degli utenti di accedere alle ricerche offerte dal motore di ricerca Google-alla stessa maniera di quanto accade per gli altri motori di ricerca-attingendo la notizia dai singoli siti sorgente.

Infatti -come si è descritto in precedenza-il servizio indicato non compie alcun intervento diretto sui contenuti memorizzati nel web, ma svolge su di essi una rilevazione in ambito mondiale non solo meramente quantitativa e statistica (e dunque “esterna” rispetto al contenuto) dei dati oggettivi, ma provvede altresì alla estrapolazione dei dati organizzandoli in rankingsulla base diparametri non divulgati (non comprimibili nella sola, notoria, frequenza, c.d. popolarità, dei termini usati dagli utenti nelle ricerche e dei siti visitati), trasfusi nel grande algoritmo segreto che regola il funzionamento del sistema>>, p.17.

Nel web i dati assai sovente risultino <<inseriti in contenuti non comprimibili nella mera categoria delle aggregazioni di nudi dati, ma siano piuttosto inclusi in testi più ampi, ascrivibili all’area dell’esercizio della liberta di stampa o di espressione (come nel caso di specie), di talchè la cancellazione della pagina web dall’archivio del titolare del trattamento finirebbe per incidere su un’area ben più ampia del singolo dato che si vuole trattare. Occorre poi puntualizzare che, come più volte ribadito, la deindicizzazione non incide sui contenuti; nondimeno, limitando l’accessibilità alla pagina web, attingibile solo attraverso l’attivazione diretta del singolo sito sorgente, essa finisce per incidere sull’ampiezza e quindi sul concreto esercizio dei diritti di libertà ad esso connessi. Non ci si può infatti nascondere che la mancata comparsa sulla pagina web del motore generalista della pagina sorgente alla digitazione delle generalità dell’interessato sia in grado di incidere in maniera significativa -in ipotesi anche potenzialmente assorbente-sulla capacità diffusiva della notizia da parte del sito sorgente. Occorre dunque effettuare un attento bilanciamento dei contrapposti diritti>> p. 18

l diritto in esame [identità personale e riservatezza] , dice il T., <<piuttosto che un autonomo diritto della personalità costituisce un aspetto del diritto all’identità personale, segnatamente il diritto alla dis-associazione del proprio nome da un dato risultato di ricerca. Il c.d. ridimensionamento della propria visibilità telematica, difatti, rappresenta un aspetto “funzionale” del diritto all’identità personale, diverso dal diritto ad essere dimenticato, che coinvolge e richiede una valutazione di contrapposti interessi: quello dell’individuo a non essere (più) trovato on linee quello del motore di ricerca (nel senso poco sopra specificato).

Orbene, se tutto ciò vale per il caso in cui un dato sia vero, ma la sua conoscenza abbia perso di interesse per la collettività per la risalenza di esso, a maggior ragione dovrà porsi nel giudizio di bilanciamento una valutazione di supravalenza della falsità del dato in tutti i casi in cui l’interessato offra una ragionevole (sensible) rappresentazione della falsità allegata; bilanciamento sottratto, infine, alla disponibilità del titolare del trattamento in tutti i casi in cui dall’interessato sia allegata prova dell’accertamento giudiziario della falsità del dato. Nelle pagine web ricorrono entrambe le fattispecie menzionate>>, p. 21.

Poi passa ad applicare questi principi al caso de quo.

Ritiene che il trattamento di G. sia illecito a partire dalla diffida inotrata dall’ineressato, tra l’altro allegando la sentenza di condanna per diffamazione: <<la convenuta avrebbe, tuttavia, dovuto procedere a trattare lecitamente i dati del ricorrente, evitando che le ricerche effettuate dagli utenti partendo dalla stringa contenente le generalità di XX dessero luogo all’elencazione dei siti sorgente contenenti le notizie la cui diffamatorietà era stata giudizialmente accertata. IL motore di ricerca avrebbe quindi dovuto procedere in allora alla deindicizzazione dei risultati>> p. 22

Anche sul danno, naturalmente la responsaiblità rigurda l’omissione solo a partire dalla diffida.

Nulla accerta come danno patriminiale.

Liquida però euro 25.000,00 per danno morale così argomentando: <<Deve valutarsi il disagio subito da parte ricorrente, e dalla medesima allegato, dovuto alla preoccupazione conseguente al protrarsi della permanenza in rete dell’abbinamento del proprio nominativo alle URL riportanti le notizie diffamatorie in esito al rifiuto opposto da Google LLC. L’assenza di puntualizzazioni difensive in ordine ad un eventuale scarto qualitativo differenziante la sofferenza patita sin dall’origine della diffusione in rete dell’associazione diffamatoria dei propri dati da quella sopportata in progressione in esito al rifiuto ricevuto, impone al giudicante di attenersi, nel computi di base, ad una liquidazione per equivalente attestata su valori contenuti. D’altro canto, non può il Tribunale non tenere conto nella liquidazione del danno della risposta derisoria opposta da Google LLC alle richieste di cancellazione dell’interessato; la società aveva infatti motivato il proprio rifiuto affermando che le notizie attingevano la vita professionale del richiedente e che oggetto di esse era un “reato”, con ciò incorrendo in una (voluta?) confusione tra autore e vittima del delitto di diffamazione, ovvero pretermettendo la sussistenza di un provvedimento della A.G. con la quale si affermava la falsità delle notizie attribuenti il coinvolgimento di XX in gravi fatti di reato; si legge, infatti, nella nota del 13.12.2017 inviata al difensore dalla odierna resistente che “In merito alle seguenti URL” –e compariva l’elenco di cui al ricorso –“si riferiscono al contenuto riguardante la vita professionale del suo cliente di sostanziale interesse pubblico… potrebbero interessare potenziali e attuali consumatori, utenti o fruitori dei servizi del suo cliente… Pertanto la presenza di questo contenuto nei nostri risultati di ricerca … è giustificato dall’interesse pubblico ad averne accesso” (cfr doc. 6 ric.).>> p. 24-25

L’aggregazione di dati già resi pubblici costituisce nuovo trattamento e va acconsentito

Vendere informazioni aggregate, pur tratte da fonti in cui erano già state pubblicate (pubblici registri), costituisce trattamento diverso ed ulteriore, per cui va acconsentito. L’aggregazione infatti costituisce una diversa lesione della diritto alla protezione dati, poichè si amplia la sfera di possibile conoscenza delle informazioni stesse.

Così suppergiù Cass. 13.01.2021 n. 368, rel. Caradonna, su ricorso ex art. 152 cod. privacy del 2014 (quindi ante GDPR e ante d lgs. 101 del 2018), eccependo soprattutto la violazione della regola di pertinenza e di non eccedenza.

Precisamente osserva la SC: <<Questa Corte ha affermato che in tema di trattamento dei dati personali, il D.Lgs. n. 196 del 2003 (nella versione applicabile ratione temporis, anteriore alle modifiche apportate dal D.Lgs. 10 agosto 2018, n. 101) ha ad oggetto della tutela anche i dati già pubblici o pubblicati, poichè colui che compie operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell’interessato (ai sensi dell’art. 3 Cost., comma 1 e dell’art. 2 Cost.), valore sommo a cui è ispirata la legislazione sul trattamento dei dati personali (Cass., 25 giugno 2004, n. 11864).

Affermazione ineccepibile.

Prosegue poi ricordando che <<nella gerarchia dei valori costituzionalmente tutelati la dignità dell’interessato è ritenuta preminente rispetto all’iniziativa economica privata che, secondo l’art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana (Cass., 8 agosto 2013, n. 18981)>>

Privacy, libertà di informazione e copyright nel caso Meghan Markle c. Daily Mail

Si pronuncia l’Alta Corte inglese sul caso Meghan Markle (MM) c. Daily Mail e Mail on Sunday (poi anche : l’Editore).

Precisamente si tratta di HIGH COURT OF JUSTICE CHANCERY DIVISION BUSINESS AND PROPERTY COURTS INTELLECTUAL PROPERTY LIST, The Duchess of Sussex c. Associated Newspapers Limited, 11.02.2021, [2021] EWHC 273 (Ch) Case No: IL-2019-000110 .

Di fronte alla pubblicazione non autorizzata da parte del Mail della propria lettera al proprio genitore (i rapporti non erano facili) , MM cita l’editore per violazione di privacy e di copyright., § 61

I fatti sono esposti ai §§ 1 ss.

PRIVACY

Le difese dell’Editore sono:
<<It maintains that the contents of the Letter were not private or confidential as alleged, and that the claimant had no reasonable expectation of privacy. Further or alternatively, any privacy interest she enjoyed was slight, and outweighed by the need to protect the rights of her father and the public at large. The defendant’s pleaded case is diffuse and hard to summarise. But prominent features are contentions that, even if the claimant might otherwise have had any privacy rights in respect of the Letter,

(1) such rights were (a) limited, given the legitimate public interest in the activities of the Royal family and the claimant’s status as a “high-ranking member” of that family, and (b) destroyed, weakened or compromised by (i) her knowledge of her father’s propensity to speak to the media about their relationship, (ii) the fact that publication of the existence and contents of the Letter was lawful in the US, (iii) her own conduct in causing, authorising, or intending publicity about the Letter and/or her relationship with her father more generally, and/or (iv) the publication of information about the Letter;

(2) the People Article gave a misleading account of the father-daughter relationship, the Letter and Mr Markle’s letter in response, such that (in all the circumstances) public disclosure of the contents of the Letter in the Mail Articles was justified to protect the rights and interests of Mr Markle and the public at large>> (§ 6).

Si noti sub 2) : il Mail pretende di fondare la liceità della pubblicazione di ampi brani (v. sotto) della lettera, per corregere l’errore in cui potrebbe cadere il pubblico in base a precedente pubblicazione (da parte di altro gionale: The People) di un articolo sul rapporto padre figlia, a suo dire distorcente la verità.

Ai §§ 28 ss i fondamenti del diritto alla privacy.

Al § 45 il testo integrale della lettera e al § 46 di quello della replica (di tre righe) del padre a MM.

A § 47 ss trovi la pubblicazione pretesamente distorcente del People.

Che esista un diritto alla privacy sulla lettera è esaminato a accertato ai §§ 64-95 <<Stage one: reasonable expectation of privacy>>).

Punto interessante è quello per chui è irrilevante l’inclinazione del padre (destinatario della missiva) a violare la privacy altrui: <<But even assuming the facts to be as pleaded, they are not capable of defeating the claimant’s case that, objectively speaking, she had a right to expect her father to keep the contents of the Letter private. A person’s rights against another are not defeated by the prospect that those rights may be ignored or violated. A high level of risk-taking might be capable of affecting the assessment of damages, but does not excuse an intrusion into privacy: see Mosley v News Group Newspapers Ltd [2008] EWHC 1777 (QB) [2008] EMLR 20 [225-226] (Eady J).>>, § 78.

Affermazione importante e condivisibile.

Al § 86 (e § 98) l’affermzione (scontata) per cui la pubblicizzazione di alcuni aspetti della propria vita non autorizza i terzi a pubblicizzarne altri: il controllo riamane in toto in capo all’interessato.

Lo stage 2 , § 96 ss, esamina il bilanciamento con la liberà di espressione, tra cui quella di correggere false impressioni nel pubblico (punto centrale: § 104).

La risposta è negativa nel caso de quo: la pretesa correzione tramite la pubblicazione di quasi metà lettera di un eventuale errore di minima entità è sproporzionata (§ 120)

La conclusione è dunque questa:

<<The claimant [cioè MM] had a reasonable expectation that the contents of the Letter would remain private. The Mail Articles interfered with that reasonable expectation. The only tenable justification for any such interference was to correct some inaccuracies about the Letter contained in the People Article. On an objective review of the Articles in the light of the surrounding circumstances, the inescapable conclusion is that, save to the very limited extent I have identified, the disclosures made were not a necessary or proportionate means of serving that purpose. For the most part they did not serve that purpose at all. Taken as a whole the disclosures were manifestly excessive and hence unlawful. There is no prospect that a different judgment would be reached after a trial. The interference with freedom of expression which those conclusions represent is a necessary and proportionate means of pursuing the legitimate aim of protecting the claimant’s privacy.>>, § 128.

Sul copyright la quesrtione più interssante è l’eccezione di carenza di legittimazione attiva, dato che la lettera sarebbe stata scritta non da MM (o da lei sola) ma da quattro membri dell’Ufficio segretariale di Kensington Palace Communications Team, (the “Palace Four”), in realtà poi da uno solo d iquesti, Mr. Knauf.

Resta invece assodato che ricorra la originnalità, § 139-149, ove riepilogo delle principali teorie e dei principali precedenti anche europei (si noti che le allegazioni processuali distinguono tra la lettera realmente inviata e una sua previa Electronic Draft, che è quella in realtà azionata in causa, § 136)..

Pure la violazione del copyright è accertata, vista la copiatura di 585 parole su 1250 ( § 150).

Sono respinti due motivi di legittimuità della pubblicazione (fair dealing in news reporting, data la concorenza all’eventuale sfruttamento del diritto di autore da parte di MM, e un altro, § 152-158).

Infine la titolarità, § 159 ss

Che dei quattro ve ne sia uno che collaborò, Mr Knauf, pare probabile (§ 135-138), anche se non in solitaria ma semmai come coautore.

Ma su questo proseguirà il processo, § 169-170.

Commento sostanzialmente favorevole da parte dell’ex direttore del Guardian, Alan Rusbridger, in It will come as a surprise to some, but even Meghan has a right to her privacy del 14.02.2021.