The Google trial in Italy: the motivation behind the conviction

Summary. On april the 12 the document with the judgement was finally released. The document shows the motivation behind the conviction of the three Google’s executives in Italy and provides more insight in the case and on the rules of law the conviction was based on. I’ve been talking extensively about the trial, the indictment and the verdict when the latter was made public in a post available here (further references and story behind the beginning of the trial can be found in the post). Back then the only public news were the legal basis of the indictment and the verdict but not yet the reasons that led to the conviction. Since now this is public I’ll be discussing the content of the judgment and what are the relevant consequences left after the trial for Internet service providers in Italy. This post is based on the column I wrote for Apogeonline (a Google Translation is available with a copy and paste of the text) and on the conversations I had with Peter Kaptein, whom I thank very much for stimulating me to write this post. The translation of some sentences from the judgment are not official but mine so it might be not accurate. The views expressed in this post, also, are my own personal.




Italy’s position on providers and user generated content in the Google trial

The good thing that comes out of the trial is that in Italy – according to the judgement:

  1. The provider has no obligation to monitor user-generated content;
  2. The provider does not have to ensure that users fulfilled the obligations attributed to them by the rules on privacy when they spread content on the web that also includes information about or from third parties.

A different ruling could have put Italy in a possible divergence from the European Union legal set of rules about ISP liability  and put the country under serious accusations of censorship. Luckly the ruling respects the ISP safe harbour rules and, indirectly, acknowledges that the safe harbour applies even in data protection related cases.

According to the judgment there is no obligation for Google to control content nor to gather consent from people portrayed in users` content. But if this is the case, why were the three executives sentenced to 6 months of imprisonment?

We can read that directly from the judge’s decision: “There is not, therefore, a requirement for prior review of data entered into the system but it’s mandatory that those [read “Google” in this case] who receive personal data from third parties should give correct and timely notice.  This is required not only by law (Section 13 Data Protection Code), but also by common sense”

(see p. 93 of the judgment.).

There is more regarding Section 13. According to the Milan court the three Google executives were held accountable for not fulfilling “the due notice obligations under Section 13 of the Privacy Code”. These obligations, according to the judgment, should include the responsibility of a party like Google to make explicitly clear to users what their responsibilities are regarding privacy and privacy protection.

By this interpretation, then, Google should tell its users: ” Do not upload other people’s data without gaining their prior consent”. As Google is not telling their users this clearly enough (according to the ruling), Google is in a way encouraging the users to upload content that might harm the privacy or reputation of other people.

The judgement seems to assume that Google is fully aware of that situation and abuses that situation to make profit of its users. The basis of the conviction, then, according to the judgment, comes from the combination of section 167 and section 13 (even if section 13 is not mentioned by section 167, as we’ll see).

Under the section 13, any company who collects data must provide its users a privacy notice that explains what information must be collected about the user, how the information will be processed, with whom the information will be shared and the purpose of the personal data collecting in order for the service to function.

The privacy notice must also inform the user of his rights of having his data erased or updated and that at any time he can ask the company if it is actually processing any data that belongs to him. For this reason, any company must provide an address where users can send their requests.

Did Google Video break Section 13?

According to the Italian judge the answer is yes.

The ruling, however, does not say which requirements of Section 13 were not met by Google. And reading deeper in the ruling, more confusion arises about the basis that led to the sentence of 6 months for the Google executives.

The basis of the conviction

The basis of the conviction is this:

  • The three Google executives did not fulfill the due notice obligations under Section 13 of the Italian Privacy Code.
  • The three executives processed the Personal Data (containing the images of a student with a disability being beaten up) ‘in order to profit ‘.
  • This “profit” was made by the presence of Google Ads in the Google Video content.
  • Making profit based on relative harm of to the person involved is in violation of section 167 of the Italian data protection code, which states the violation may occur by breaking the rules stated in section 23, 17 or 26 of the Code (see analysis of section 167 here).
  • So, the conviction is based on the combination of two sections and the relationship between the two comes, according to the ruling, from a matter of fact

The confusing part of the ruling

It’s very unclear why Section 13 is used as the basis for the conviction since this section is not even stated in the indictment (see charge B, which is the one about the privacy laws breach).

The charge related to the infringement of privacy laws , as we extensively explained after the verdict, was based upon section 167, which is not about the “prior notice”, but about the “unlawful processing of data”.

Reading the ruling, it becomes clear that Section 167 of the Data protection Code is the key rule that led the judge to the sentencing of the three executives.  Section 167 is stated in the indictment as the second charge against the Google`s executives.

Section13 is not mentioned in Section167 but inSection 161 of the Code regarding protection of personal data. Neither 161 nor 13 are part of the original charge against Google. 167 is.

Section 161 (Providing No or Inadequate Information to Data Subjects) states that “Breach of the provisions referred to in Section 13 shall be punished by a fine consisting in payment of between six thousand and thirty-six thousand Euro.”

When usingSection167 the crime Google Video committed consists of three parts:

  1. The breach of the mentioned Sections (in Section 167)
  2. The gain from the behavior
  3. Damage caused to the owner of the data

According to the judgement, the users should give the preliminary notice required by Section 13. Consequently Section 167 is blown off the table as none of the behavior of Section 167 is – as a result of this logic – committed by Google or their executives.

The president of the Italian Data Protection Authority, Mr Pizzetti, in an interview to Vittorio Zambardino (a Google translation of the interview is available here) said that:

  • the ruling was right in stating that the adequate protection of privacy in cases like these cannot be found in content control;
  • he disagrees with the interpretation of section 13;
  • Section 13 is about the notice the Internet Service Provider must give to its users regarding its services and about the way the ISP processes the data of its users only;
  • the need to remind users that they should gather prior consent from other people if they appear in videos (or images) is not stated in section 13 nor in any other section;
  • since this is a criminal trial it should be the law to tell what is illegal or what the consequences related to a specific behaviour or omission are before the behaviour or the omission is committed, not the judge after the commission.

It is very likely that the affair is not finished and this ruling will probably be overturned on appeal. It did, anyway, dismiss the worst case scenario feared worldwide from the beginning of this trial making it clear once again that: the internet service provider does not have to monitor or control the content generated by its users and that it does not have to ensure that users fulfilled the obligations attributed to them by the rules on privacy when they spread content on the web that also includes information about or from third parties.

Dichiarazioni dei redditi online, il Garante: stop anche agli utenti

Dopo tante polemiche finalmente è arrivato il parere ufficiale del Garante per la protezione dei dati personali in merito all’iniziativa dell’Agenzia delle entrate la quale ha reso accessibili via internet, sebbene per poche ore, tutti i dati riguardanti le dichiarazioni dei redditi degli italiani per l’anno 2005 comprensive dei nominativi dei contribuenti.

In sintesi, le motivazioni per cui il Garante ha ritenuto illegittima l’attività posta in essere dall’Agenzia delle entrate sono:

a) carenza di potere: al direttore dell’Agenzia delle entrate non spetta la competenza di decidere la modalità di diffusione dei dati, che è invece riservata al Legislatore;

b) mancanza di proporzionalità nel trattamento dei dati: nelle parole del Garante, infatti

L’uso di uno strumento come Internet rende indispensabili rigorose garanzie a tutela dei cittadini. L’immissione in rete generalizzata e non protetta dei dati di tutti i contribuenti italiani (non sono stati previsti “filtri” per la consultazione on line) da parte dell’Agenzia delle entrate ha comportato una serie di conseguenze: la centralizzazione della consultazione a livello nazionale ha consentito, in poche ore, a numerosissimi utenti, non solo in Italia ma in ogni parte del mondo, di accedere a innumerevoli dati, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere ulteriormente dati in circolazione, ponendo a rischio la loro stessa esattezza. Tale modalità ha, inoltre, dilatato senza limiti il periodo di conoscibilità di dati che la legge stabilisce invece in un anno.

c) mancata richiesta di parere preventivo al Garante;

d) la mancata informativa ai contribuenti sulla modalità di diffusione dei dati, invece, viene anticipata in questo provvedimento ma sarà oggetto di una decisione ad hoc.

Il contenuto del provvedimento non giunge inaspettato, come ho scritto infatti per Apogeo qualche giorno fa proprio in merito alla vicenda in questione, i criteri adottati dal Garante per situazioni di questo tipo si basano sulla verifica dell’effettiva necessità del trattamento (esistenza di una norma di legge che imponga la pubblicazione dei dati su Internet) e proprozionalità del trattamento (mantenimento online dei dati per il solo tempo strettamente necessario al trattamento nonché accorgimenti tecnici per evitare indicizzazione e memorizzazione nella cache da parte dei motori di ricerca al fine di garantire il diritto all’oblio).

Quello che stupisce nel contenuto del provvedimento è l’ulteriore divieto posto ai soggetti che hanno scaricato i dati e ai mezzi di informazione. Si legge nel provvedimento, infatti, che:

L’Autorità ha altresì specificato che va ritenuta illecita anche l’eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell’Agenzia. Tale ulteriore diffusione può esporre a conseguenze di carattere civile e penale.

Resta fermo il diritto-dovere dei mezzi di informazione di rendere noti i dati delle posizioni di persone che, per il ruolo svolto, sono o possono essere di sicuro interesse pubblico, purché tali dati vengano estratti secondo le modalità attualmente previste dalla legge.

Come è noto, la modalità di accesso ai dati prescelta dai tecnici dell’Agenzia delle entrate imponeva all’utente di scaricare un file zip sul proprio hard disk. Solo in questo modo si poteva accedere agli elenchi. E’ proprio per questo motivo, per la sfortunata scelta di imporre il salvataggio dei dati per permetterne la visualizzazione, cioè, che essi sono stati salvati e, di conseguenza, potevano potenzialmente essere diffusi.

Una modalità tecnica di consultazione direttamente online senza il bisogno di scaricare alcunché avrebbe certo limitato il danno a cui stiamo assistendo. Senno di poi, comunque.

I file originali dell’Agenzia delle entrate, in ogni modo, sono dei semplici file di testo non dotati di firma elettronica nè semplice nè qualificata. In poche parole, chiunque poteva adulterarli. La domanda, quindi, è: se anche un solo nome o un solo reddito è stato adulterato, si tratta ancora di uno dei file che cade nel divieto di diffusione?

Sui sistemi di file sharing circolano anche molti fake (tra i classici: la dichiarazione dei redditi di Nazareth e quella dei primi 100 bloggers in classifica su Blogbabel), non tutti palesemente tali.

Da notare che le date di salvataggio dei file non sono indicative dell’autenticità degli stessi: lo stesso ministro Visco aveva dichiarato che i file erano pronti da gennaio ma alcuni tra i file scaricati direttamente dal sito dell’Agenzia le date di salvataggio erano posteriori.

Cosa dovrebbero fare le procure, nell’ipotesi in cui volessero effettivamente bloccare la diffusione dei file nei circuiti peer to peer? Analizzare forensicamente gli hash dei file originali dell’Agenzia e paragonarli a quelli in circolo, e in caso di matching risalire agli ip di chi li sta condividendo. Ma ciò non basterebbe, perchè se anche il file è stato semplicemente rinominato, o modificato o cancellato un solo dato (lasciando così potenzialmente immutata l’offensività del resto del contenuti del file) l’hash cambia e tale controllo non è più possibile. E andrebbe rifatto manualmente confrontando i contenuti dei file. Non impossibile, ma un lavoraccio.

Posto che l’avviso del Garante ha l’ovvio e giustificato fine di limitare gli effetti deleteri di un danno ormai fatto a cui neppure un risarcimento forfetario può dare riparo (e i tempi non sono comunque maturi: gli effetti, specie individuali, potrebbero verificarsi in futuro) e consistente – soprattutto – nella diffusione di dati aggregati ordinati per comuni, rimane anche il problema dell’attività dei mezzi di informazione.

E’ o non è coperto dal diritto di cronaca rendere noti quali file stanno ormai circolando e in che forma?

E se si, può il provvedimento del Garante prevalere su tale diritto?

In sintesi, l’illegittimità dell’attività dell’Agenzia delle entrate assume, con il mezzo telematico, una valenza duplice. Da un lato, infatti, ha propagato a macchia d’olio i file rendendo di fatto il fenomeno inarginabile. Dall’altro ha propagato a macchia d’olio l’illegittimità stessa, coinvolgendo nello stato soggettivo di esposizione a conseguenze di legge anche chi quei file li ha scaricati e che, per stare completamente al sicuro e non rispondere eventualmente per omissione di controllo, dovrebbe procedere a cancellarli. Un pò, se mi si consente la metafora e la si prende per quello che è (e cioè solo una metafora narrativa e non una equiparazione fra due diversi istituti giuridici), come i falsari che distribuiscono banconote false e coinvolgono nel reato anche le persone che si trovano loro malgrado e incolpevolmente a maneggiare il denaro falso. Catene inconsapevoli di una circolazione illegale e soggetti responsabili dal momento in cui sono coscienti della falsità della banconota e la mantengono in circolo.

Di certo quello che è successo è un memento importante che dovrà essere oggetto di studio tecnologico e giuridico e ben ponderato per evitare in futuro che l’utilizzo delle nuove tecnologie da parte dello Stato porti a situazioni imbarazzanti come quella che è accaduta.