I fatti alla base della controversia
L’azione è stata proposta da Dish Network, un fornitore di tv a pagamento statunitense, che detiene i diritti esclusivi per la distribuzione e l’esecuzione pubblica negli Stati Uniti di programmi televisivi protetti da diritto di autore, con mezzi che includono satellite, OTT, IPTV e Internet. Il titolare dei diritti era venuto a conoscenza che due IPTV trasmettevano contenuti di propria titolarità senza autorizzazione, attraverso indirizzi IP di proprietà del provider WorldStream, che fornisce servizi di hosting.
Il titolare dei diritti ha inviato al provider una serie di lettere di diffida per richiedere la disabilitazione all’accesso degli indirizzi IP collegati alle IPTV illecite. WordStream provvedeva al blocco come richiesto.
La controversia è sorta tuttavia quando il titolare dei diritti ha richiesto al provider di fornire le informazioni che permettessero di identificare gli utenti collegati agli indirizzi IP bloccati. Su questo punto, WorldStream ha affermato di poter fornire tali informazioni solo in caso di totale manleva da parte di Dish Network per qualsiasi responsabilità ai sensi del GDPR. Insoddisfatto della proposta di WordStream, Dish Network citava quindi in giudizio questo provider affinché gli fosse ordinato di fornire le seguenti informazioni:
(A) Nome e indirizzo degli utenti, compreso il loro indirizzo e-mail e, nel caso di persone giuridiche, il loro numero di registrazione nel registro delle imprese del loro Stato di origine;
(B) i numeri di telefono degli utenti, la data di nascita e l’ID utente di WorldStream e, nel caso di persone giuridiche, tutte queste informazioni per il loro rappresentante legale; e
(C) informazioni sui pagamenti, dati sul traffico degli utenti, corrispondenza con WorldServe, altri indirizzi IP degli utenti, oltre una serie di ulteriori informazioni.

La decisione del Tribunale distrettuale
La richiesta di Dish Network si basava su una disposizione generale di accesso alle prove, l’art. 843a del Codice di Procedura Civile Olandese – DCCP, in combinazione con l’art. 1019a DCCP, attuazione dell’articolo 6 della Direttiva Enforcement, in base ai quali qualsiasi soggetto ha diritto di richiedere alla propria controparte le prove se ha un interesse legittimo ad ottenerle. La richiesta riguarda prove specificamente identificate che sono in possesso della controparte e riguardano un rapporto giuridico di cui il ricorrente è parte.
Il Tribunale distrettuale ha ritenuto che, nel caso di specie, Dish Network avesse un interesse legittimo ad ottenere le informazioni e che avesse reso sufficientemente credibile il fatto che i suoi diritti di proprietà intellettuale fossero effettivamente violati dai clienti di WorldStream per garantirne la divulgazione.
Tuttavia, la Corte distrettuale ha limitato la divulgazione solo a nomi, indirizzi, indirizzi e-mail e, nel caso di persone giuridiche, numeri di registrazione (punto A delle richieste di Dish Network), mentre ha rigettato la richiesta di divulgazione di ulteriori informazioni quali numeri di telefono, date di nascita, informazioni sui pagamenti e altri dati. Secondo il giudice, infatti, tali ulteriori dati non erano stati sufficientemente identificati e, in ogni caso, in applicazione del criterio di proporzionalità, le informazioni relative ai nomi, indirizzi e indirizzi e-mail erano stati ritenuti sufficienti per identificare gli utenti che avevano commesso la violazione dei diritti del ricorrente. In considerazione della portata limitata dell’ordine, il Tribunale distrettuale ha anche ritenuto che l’adempimento da parte di WorldStream non costituisse un onere eccessivo.
Con riferimento alla questione di ammissibilità dell’ordine di divulgazione ai sensi del GDPR, il Tribunale distrettuale ha affermato che l’art. 6, paragrafo 1, lettera f), del GDPR, consente il trattamento dei dati personali qualora ciò sia “necessario ai fini dei legittimi interessi perseguiti … da un terzo”. Nel caso di specie, il trattamento è stato ritenuto necessario in quanto Dish Network non avrebbe avuto altri mezzi per rintracciare gli utenti e per far valere i propri diritti, ritenendo quindi prevalente l’interesse del ricorrente a tutelare i propri diritti di autore di rispetto ai diritti di privacy degli utenti.

La decisione qui commentata è di particolare interesse perché strettamente correlata al giudizio attualmente pendente dinanzi alla Corte di giustizia dell’Unione europea (CGUE) nella causa C-264/19 Constantin Film Verleih [https://www.lexology.com/library/detail.aspx?g=c6f8500e-344e-47e6-a1df-8ce50d60f840]. Nel giudizio innanzi alla CGUE, secondo le conclusioni del 2 aprile 2020 dell’Avvocato generale Saugmandsgaard Øe, l’ordine di divulgazione dei dati non deve ricomprendere gli indirizzi di posta elettronica o i numeri di telefono e ciò poichè i termini i “nomi e indirizzi” di cui all’articolo 8, paragrafo 2, lettera a) della Direttiva Enforcement dovrebbero essere interpretati in modo molto ristretto. La decisione del Tribunale Distrettuale dell’Aia, tuttavia, non si è basata solo sull’interpretazione dell’art. 8 della Direttiva ma, come si è visto, su norme generali di carattere nazionale relative all’accesso alle prove, che conferiscono al titolare dei diritti il potere di ricevere informazioni più complete. Ciò, peraltro, nel pieno rispetto della direttiva Enforcement, che lascia aperta la possibilità per gli Stati membri di fornire ai titolari dei diritti mezzi di raccolta di informazioni di più ampia portata.
E’ comunque interessante il bilanciamento dei diritti operato dal Tribunale distrettuale, il quale ha ritenuto necessario l’accesso ai dati da parte del titolare dei diritti per una piena tutela degli stessi, prevalenti rispetto al diritto alla privacy degli utenti (applicabile, lo si ricorda, solamente ad utenti persone fisiche e non anche a persone giuridiche, per le quali non si può parlare di dati personali).
La decisione olandese è simile per certi punti di vista alle decisioni milanesi e romane del XXX [https://www.lexology.com/library/detail.aspx?g=c6f8500e-344e-47e6-a1df-8ce50d60f840], che appaiono tuttavia – correttamente – di portata ancora più vasta. Le decisioni in questione hanno infatti ordinato ad alcuni hosting provider di fornire al titolare dei diritti tutte le informazioni relative agli utenti ed utili alla loro identificazione, quali nome, cognome, data di nascita, luogo di nascita e indirizzo di residenza, codice fiscale, ovvero ragione e sede sociale e numero di identificazione ai fini fiscali o di registrazione nel registro delle imprese, o analoghi, in caso di persona giuridica. Ciò in quanto ammesso ai sensi degli articoli 156bis e 156ter l. 633/1941, i quali prevedono infatti espressamente la possibilità per il titolare dei diritti di richiedere un ordine di discovery dei dati dei contraffattori. Del resto va notato che in molti casi alcuni dei dati utilizzati dai contraffattori per l’utilizzazione dei servizi di hosting sono falsi e del tutto inidonei all’effettiva identificazione dei contraffattori stessi (come ad esempio il nome, il cognome, lo stesso indirizzo email). Spesso anche i dati relativi ai pagamenti sono in sé poco utili, dal momento che i contraffattori utilizzano servizi di anonimizzazione. Per conseguenza, appare del tutto corretto che i titolari dei diritti violati possano accedere a tutte le informazioni a disposizione del provider, e che quest’ultimo fornisca la massima cooperazione per l’identificazione, e che in mancanza di tale comportamento in buona fede si possa configurare una responsabilità autonoma e diretta a suo carico.

Margherita Stucchi