Tradizionalmente, il rapporto tra la protezione dei dati (e la scansione dei ruoli privacy con le responsabilità che ne derivano) e la disciplina della responsabilità del provider è uno dei temi più “caldi” del web, e che maggiormente si presta a fraintendimenti ed equivoci.
Non è infrequente, infatti, che si tenti di ricomporre le normative, che nascono per offrire tutela in ambiti separati al fine di trovare un punto di equilibrio tra diritti fondamentali (libertà di espressione, riservatezza e trattamento dei dati personali), sovrapponendole ed intrecciandone arbitrariamente gli istituti, anche contro la stessa lettera della legge. È innegabile, tuttavia, che non sempre è agevole ricostruire il rapporto tra queste norme o mantenerle separate nella sostanza. Sarà pertanto utile, per comprendere l’interazione tra protezione dei dati personali e responsabilità del provider, ripercorrere i tratti principali della interpretazione offerta dagli organi comunitari e dal Gruppo di lavoro Art. 29.
La responsabilità del provider
Chi offre la possibilità agli utenti di esprimersi sul web non risponde, di regola, per i contenuti postati dagli utenti, come non ne risponde chi si limiti a “memorizzare” temporaneamente i contenuti altrui o chi offra la rete di comunicazione. Ovviamente, a seconda del servizio offerto, i presupposti per godere di queste esenzioni di responsabilità possono variare, ma, in soldoni, il principio generale è quello dell’irresponsabilità del provider per i contenuti immessi da altri, come non sussiste alcun obbligo di sorveglianza preventiva da parte dei provider su tali contenuti.
La responsabilità è declinata nello specifico dagli articoli 12, 13 e 14 della Direttiva 2000/31/CE trasposti nel nostro ordinamento rispettivamente negli articoli 14,15 e 16 del D. Lgs. 70/03.
Inoltre, l’articolo 15 della Direttiva, dopo aver disposto l’assenza dell’obbligo generale di sorveglianza (“Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”), poneva, per gli Stati membri, la possibilità di inserire un obbligo di informare le autorità di eventuali illeciti di cui fossero venute a conoscenza (“Gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati”), scelta operata in effetti dal legislatore nazionale.
La responsabilità dell’hosting provider
Il Decreto legislativo 70/03 in ordine alla responsabilità dell’host provider (la più frequente nella pratica) stabilisce che:
“1. Nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.”
Quindi non sussiste una responsabilità diretta del provider, a condizione che il provider non abbia conoscenza dell’illiceità dei contenuti: in ordine ad eventuali azioni risarcitorie per evitare responsabilità, il provider non deve essere al corrente di fatti che rendano manifesta l’illiceità dell’attività o dell’informazione.
Qualche problema interpretativo in più lo ha creato la lettera b), con l’inciso riferito alla comunicazione delle autorità competenti. Ci si è domandati, cioè, se la rimozione delle informazioni illecite (che deve essere tempestiva) dovesse seguire la comunicazione delle autorità competenti o se l’obbligo di rimozione potesse derivare anche da una conoscenza circostanziata e non “qualificata”, anche a seguito di comunicazione inviata dalla persona offesa, come sembra suggerire il testo della Direttiva.
La Direttiva infatti non conteneva il riferimento alle autorità competenti, limitandosi a prevedere che il prestatore non avrebbe dovuto essere “responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione, o
b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”,
sebbene la medesima Direttiva lasciasse impregiudicata la possibilità di prevedere per gli Stati membri la possibilità di prevedere che le autorità amministrative e giurisdizionali potessero ordinare la rimozione dei contenuti e procedure per inibire l’accesso alle informazioni. Possibilità che, comunque sembra accolta dal comma terzo dell’articolo 16 del D. Lgs. 70/03 il quale prevede che “L’autorità giudiziaria o quella amministrativa competente può esigere, anche in via d’urgenza, che il prestatore, nell’esercizio delle attività di cui al comma 1, impedisca o ponga fine alle violazioni commesse”.
In ordine all’obbligo generale di sorveglianza il legislatore nazionale ai commi 2 e 3 dell’articolo 17 del D. Lags 70/03 dopo aver ribadito l’assenza di tale obbligo, come stabilito dalla Direttiva e-commerce, ha disposto che:
“Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:
a) ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione;
b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall’autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’autorità competente”.
Senza soffermarsi troppo su alcune difficoltà interpretative che hanno riguardato la trasposizione italiana, soprattutto in ragione della difficoltà di individuare le autorità amministrative competenti e il ruolo che rivestono nella normativa in commento (polemiche non placate neppure con i poteri in tema di diritto d’autore dei quali è stata investita l’AGCOM), la responsabilità del provider sorge comunque solo in seguito alla conoscenza dell’illecito (il problema è comprendere, semmai, come si determini detta conoscenza, ma la questione meriterebbe apposita trattazione) e ciò ha portato a diversi approdi giurisprudenziali a seconda che si vertesse nel campo del diritto d’autore (o per intenderci, delle violazioni di copyright), dove l’assenza del diritto di riproduzione può apparire “manifesta”, e altre fattispecie, collegate al diritto di manifestazione del pensiero, che trovano limiti opinabili (nel senso che spesso non sono chiaramente individuabili, ma necessitano di valutazione caso per caso) nel diritto di cronaca, critica e satira. Senza considerare che l’attivazione del provider per informare le autorità dell’illecito è priva di sbocchi (e di senso) nel caso di compimento di reati non perseguibili d’ufficio ma solo a querela di parte, la cui procedibilità, cioè, è rimessa dall’ordinamento alla sola determinazione dell’offeso.
Questa forma di esenzione di responsabilità è molto efficace per chi offre uno spazio ad altri senza avere grande struttura o mezzi, come ad esempio i blog: porre un obbligo di controllo o una corresponsabilità del blogger o immaginare una strutturazione della responsabilità simile a quella prevista per il direttore responsabile nelle pubblicazioni a stampa rischierebbe di addossare oneri troppo gravosi in capo a soggetti spesso sforniti dei necessari mezzi, portandoli a limitare lo spazio offerto e paralizzandone l’attività per paura delle conseguenze che potrebbero scaturire dalla condotta altrui, con gravi ripercussioni sulla libertà di espressione.
Il content provider e l’host attivo
Il comma 2 dell’articolo 16 del D.Lgs 70/03 prevede che le disposizioni di cui al primo comma in tema di esenzione di responsabilità del provider “non si applicano se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore”. Cioè, se il provider ha un ruolo attivo della determinazione o scelta dei contenuti che pubblica, i limiti di responsabilità saltano e la sua responsabilità si riespande secondo le regole ordinarie.
Un’ipotesi frequente, tuttavia, è che il provider, specie se si tratta di un grande player, intervenga sui contenuti determinandone il diverso grado di visibilità, aggregandoli in base alla richieste dell’utente o alla misura di condivisione sui social, in genere mediante l’impiego di algoritmi. In questi casi, nei quali l’host provider incide nella fornitura dei contenuti al pubblico, ordinandoli, aggregandoli o compiendo altre operazioni, e magari lucrando sulle visualizzazioni, il provider può beneficiare dell’esenzione di responsabilità sopra descritta? Oppure dovremmo considerare le sue ingerenze e valutarle peculiarmente sul piano della responsabilità? La giurisprudenza, per gradare la responsabilità, in questi casi, ha fatto ricorso alla figura ibrida dell’”host attivo”, figura che, tuttavia, è molto controversa in dottrina e alla quale qui si accenna solo per completare sommariamente il quadro.
La normativa sulla protezione dei dati personali.
La normativa sulla protezione dei dati personali, invece, parte da presupposti differenti.
Innanzi tutto c’è il titolare dei dati che è il soggetto al quale competono le scelte in ordine alle finalità e ai mezzi del trattamento, nonché , secondo il Dlgs 196/03, anche la scelta delle misure di sicurezza. Al titolare spetta tutta una serie di obblighi, tra cui: acquisire i consensi quando necessario, applicare le misure di sicurezza, fornire agli interessati le informazioni necessarie in ordine ai trattamenti. La scansione dei ruoli privacy prevede che i compiti e le istruzioni siano impartite dal titolare ai soggetti sottoposti, che vengono inquadrati in ruoli precisi, di responsabile o incaricato, a seconda del grado di autonomia di cui godono rispetto al titolare del trattamento.
Sul web questi obblighi vanno contemperati con i diritti connessi alla libertà di espressione, e subiscono delle facilitazioni e delle parziali deroghe.
In particolare nel Codice della Privacy sotto il Titolo XII – Giornalismo ed espressione letteraria ed artistica, l’Art. 136. “Finalità giornalistiche e altre manifestazioni del pensiero” recita:
“1. Le disposizioni del presente titolo si applicano al trattamento:
a) effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità;
b) effettuato dai soggetti iscritti nell’elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69;
c) temporaneo finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell’espressione artistica.”
Mentre l’articolo Art. 137 “Disposizioni applicabili” precisa che:
“1. Ai trattamenti indicati nell’articolo 136 non si applicano le disposizioni del presente codice relative:
a) all’autorizzazione del Garante prevista dall’articolo 26;
b) alle garanzie previste dall’articolo 27 per i dati giudiziari;
c) al trasferimento dei dati all’estero, contenute nel Titolo VII della Parte I.
2. Il trattamento dei dati di cui al comma 1 è effettuato anche senza il consenso dell’interessato previsto dagli articoli 23 e 26.
3. In caso di diffusione o di comunicazione dei dati per le finalità di cui all’articolo 136 restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all’articolo 2 e, in particolare, quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico. Possono essere trattati i dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico.”
Insomma, ci sono delle “deroghe” e delle facilitazioni in ordine al trattamento dei dati sul web, delle quali beneficiano non solo le testate giornalistiche registrate ma anche i blog e anche chi occasionalmente posti delle notizie o altri contenuti che attingono al bacino della libertà di espressione, ad esempio creazioni artistiche, a condizione che siano rispettati gli obblighi posti nella sezione dedicata del codice e che sia rispettato il principio dell’interesse pubblico che sostiene la pubblicazione e dell’essenzialità dell’informazione rispetto all’interesse pubblico del fatto.
In caso di violazione dei diritti, le norme impongono comunque di evidenziare il titolare del trattamento e rendere le informative in modo da consentire agli interessati un facile esercizio della tutela dei diritti che assumono lesi.
I diritti che possono essere esercitati e tutelati in tal senso sono solo quelli riferiti alla materia della protezione dei dati personali: più volte, ad esempio, il Garante Privacy si è trovato a ribadire la propria incompetenza ove il suo intervento era sollecitato per pubblicazioni che apparivano illecite solo perché potevano presentare profili diffamatori.
Sul web siamo tutti titolari?
Salvo quanto sopra, la gestione di spazi web va comunque oltre le ipotesi afferenti alla libertà di espressione, e in generale chiunque gestisce uno spazio sul web nel quale vengono trattati dati personali è tenuto a fornire l’informativa relativa al trattamento operato, anche se questo sia limitato ai dati di navigazione (in ossequio all’articolo 13 del Codice Privacy e alla raccomandazione WP43 del Gruppo di lavoro Articolo 29) ed eventualmente ad acquisire i consensi che si rendano necessari a seconda del trattamento operato.
Essere un privato cittadino non esonera: l’articolo 5 del Codice della privacy, infatti, dispone, al terzo comma, che:
“Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.” dato che la pubblicazione sul web rientra nelle ipotesi di “comunicazione sistematica e diffusione”,
Sul web, chiunque si appresti a trattare dati altrui pubblicandoli, deve quindi applicare il D. Lgs. 196/03, ad esempio, acquisendo il consenso informato ove necessario.
Spesso sulla rete Internet si verifica una stratificazione di soggetti, si pensi ai trattamenti operati dagli utenti che pubblichino fotografie raffiguranti altre persone riconoscibili sui gruppi di un notissimo social network; e non sempre è immediato comprendere quali obblighi competano ai diversi soggetti coinvolti e quali obblighi ponga loro in capo il Codice della privacy.
Il provider è titolare del trattamento?
Interrogandosi sui problemi connessi all’individuazione del titolare del trattamento sul web, il WP29 nel Parere 1/2010 – WP 169 in merito ai Provider di servizi di hosting su Internet ha evidenziato che un provider di servizi Internet (ISP) che fornisce servizi di hosting è in linea di principio un responsabile del trattamento per i dati personali pubblicati on-line dai suoi clienti, che si rivolgono a lui per l’hosting e la manutenzione del loro sito web. Se tuttavia l’ISP tratta ulteriormente, per scopi propri, i dati contenuti nei siti web, diventa titolare per tale specifico trattamento. (si osservi che l’analisi operata dal WP ha condotto a diverse conclusioni per un ISP che fornisse servizi di posta elettronica o di accesso a Internet). L’elemento più importante è la condizione secondo cui il responsabile del trattamento interviene “…per conto del titolare del trattamento…”. Intervenire “per conto di….” significa, per il WP, servire gli interessi di un altro soggetto, e ciò richiama il concetto giuridico di “delega”. Nel caso della normativa sulla protezione dei dati, il responsabile del trattamento deve attuare le istruzioni ricevute dal titolare del trattamento almeno per quanto attiene alla finalità del trattamento stesso e agli aspetti fondamentali dei mezzi.
In tale ottica, la liceità dell’attività di trattamento dei dati da parte del responsabile è determinata dal mandato ricevuto dal titolare del trattamento. Se va al di là del proprio mandato e se acquisisce un ruolo rilevante nella determinazione delle finalità o degli aspetti fondamentali dei mezzi del trattamento, il responsabile diventa (con)titolare. La questione della liceità del trattamento operato in concreto dovrà poi, comunque, essere valutata alla luce degli articoli rilevanti della direttiva. La delega può tuttavia comportare un certo grado di discrezionalità sul modo in cui servire al meglio gli interessi del titolare del trattamento, consentendo al responsabile di scegliere gli strumenti tecnici ed organizzativi più adatti.
In generale il WP ha riconosciuto le difficoltà che presenta l’applicazione delle definizioni della direttiva in un contesto complesso, con vari scenari che possono vedere intervenire titolari e responsabili del trattamento, da soli o congiuntamente con altri, con vari gradi d’autonomia e di responsabilità. Tuttavia non ha ritenuto che la direttiva non fosse più idonea a garantire la protezione dei dati personali nel mutato e più complesso scenario dovuto, principalmente, all’evoluzione tecnologica. In particolare nella scissione tra determinazione delle finalità del trattamento e determinazione dei mezzi ha dato prevalenza alle prime in ordine all’individuazione della titolarità, ritenendo che i secondi da soli non fossero sufficienti, ma potessero essere delegati dal titolare al responsabile nel rispetto della normativa.
Una simile ricostruzione ha prestato il fianco a non poche critiche, data la sperequazione contrattuale che sussiste tra titolare dei dati (spesso un privato) e responsabile (si pensi a un social network), tuttavia appare idonea a non interferire con la separata, diversa impostazione normativa che presiede alla individuazione della responsabilità del provider sopra descritta, che opera in materie diverse dalla protezione dei dati.
La separazione degli ambiti
La tutela dei dati personali affonda le proprie radici in Europa nella Direttiva 95/46/CE. Nella direttiva non c’è spazio per l’armonizzazione con la disciplina in tema di responsabilità del provider.
La Direttiva e-commerce, infatti, è del 2001. E’ la direttiva e-commerce che si preoccupa di separare l’ambito di applicazione delle due normative.
All’articolo 1 comma 5 essa infatti dispone che “La presente direttiva non si applica:
(…)
b) alle questioni relative ai servizi della società dell’informazione oggetto delle direttive 95/46/CE e 97/66/CE”.
In particolare il legislatore europeo si è preoccupato di specificare che “la protezione dei singoli relativamente al trattamento dei dati personali è disciplinata unicamente dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e dalla direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni, che sono integralmente applicabili ai servizi della società dell’informazione. Dette direttive già istituiscono un quadro giuridico comunitario nel campo della protezione dei dati personali e pertanto non è necessario includere tale aspetto nella presente direttiva per assicurare il buon funzionamento del mercato interno, in particolare la libera circolazione dei dati personali tra gli Stati membri. L’applicazione della presente direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali, in particolare per quanto riguarda le comunicazioni commerciali non richieste e il regime di responsabilità per gli intermediari. La presente direttiva non può impedire l’utilizzazione anonima di reti aperte quali Internet.”
Impostazione ricalcata dal legislatore nazionale il quale all’articolo 1 del D. Lgs. 70/03 ha delimitato l’ambito di applicazione in questo modo: “Il presente decreto è diretto a promuovere la libera circolazione dei servizi della società dell’informazione, fra i quali il commercio elettronico.
2. Non rientrano nel campo di applicazione del presente decreto:
a) (…)
b) le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675 e al decreto legislativo 13 maggio 1998, n. 171 e successive modifiche e integrazioni;”
Ma è possibile delegare le questioni relative alla riservatezza alla normativa di settore, mentendole separate rispetto alle questioni che disciplinano la responsabilità del provider? Come si è visto sopra, adottando l’impostazione suggerita dal WP29, le discipline non entrano in conflitto, quindi, teoricamente, potremmo dare una risposta affermativa alla domanda. Nella pratica, tuttavia, la distinzione non sempre appare così netta e i tentativi di offrire una lettura sistematica non sempre sono stati ineccepibili.
Il mutato quadro europeo: il Regolamento generale sulla protezione dei dati
La normativa europea in tema di protezione dei dati ha subito una significativa revisione, sulla spinta anche della necessità di uniformarla nei diversi stati membri e adeguarla al mutato quadro tecnologico e alla diffusione sempre più capillare di trattamenti transfrontalieri.
In ordine al rapporto con la Direttiva e-commerce, il riferimento operato nella direttiva e-commerce alla direttiva sulla protezione dei dati, che abbiamo visto sopra, non muterà i suoi effetti, ma si intenderà operato al Regolamento UE 2016/679 [cfr. Articolo 94 del Regolamento 2016/679 “Abrogazione della direttiva 95/46/CE”:
“1. La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018.
2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. (.…)”].
Il Regolamento, dal canto suo, contiene un riferimento alla Direttiva e-commerce: l’ultimo comma dell’articolo 2 “ambito di applicazione materiale” si legge: “Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.”
Il legislatore Europeo sceglie una terminologia precisa (“non pregiudica” –“without prejudice” nella versione inglese, non ha usato “non si applica”), e intende probabilmente dire che il Regolamento stesso non ha effetti giuridici sull’applicazione della direttiva e-commerce, e, quindi, sui limiti di responsabilità che pone in capo i provider (per sevizi di hosting, memorizzazione temporanea o mere conduit).
Il rapporto tra le due normative non appare chiarissimo e la scelta terminologica operata dal legislatore europeo non è delle più felici, probabilmente, dato che la direttiva e-commerce esclude dal proprio ambito di applicazione la normativa sulla protezione europea, mentre una simile, limpida esclusione non è dichiarata nel Regolamento che sembra limitarsi a “non pregiudicare” l’applicazione della direttiva e-commerce.
Tuttavia una lettura coerente con quanto elaborato sino ad oggi da dottrina e giurisprudenza in tema di responsabilità del provider spinge a ritenere che l’unica lettura congiunta e coerente possibile sia che la responsabilità del provider per gli illeciti commessi dagli utenti (che non riguardino la protezione dei dati personali) sarà devoluta alla normativa che discende dalla Direttiva e-commerce, mentre le altre questioni che possano insorgere e siano legate al trattamento dei dati personali -come ad esempio il diritto all’oblio o gli obblighi che discendano dal trattamento del dati del quali il provider sia titolare (o responsabile, in alcuni casi) – saranno risolte sulla base del Regolamento generale sulla protezione dei dati. Nel caso si verta in entrambe le ipotesi, ossia che la condotta posta in essere faccia emergere responsabilità che afferiscono a entrambe le normative (es. concorso tra diffamazione e trattamento illecito di dati personali) l’applicazione delle norme sulla protezione dei dati non precluderà l’applicazione delle norme che derivino dalla direttiva e-commerce.
Si tratta tuttavia di un punto che andrà chiarito, visto che, a differenza della normativa precedente, il Regolamento generale pone obblighi specifici e ipotesi di responsabilità autonoma e peculiare anche in capo al responsabile del trattamento ed è in questo ruolo, come abbiamo visto, che la maggior parte dei provider opera.
Inoltre, per semplicità, ho omesso anche l’incidenza sul punto della direttiva e-privacy, al momento in fase di revisione e che dovrebbe anche essa essere mutata in Regolamento. Non è escluso che nella determinazione della responsabilità del provider vengano ad incidere anche le nuove norme del Regolamento e-privacy di prossima emanazione e che gli interpreti saranno chiamati a un nuovo sforzo ermeneutico che valorizzi il punto di equilibrio (in concreto) tra libertà di espressione, riservatezza e protezione dei dati personali.
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.