Caso Peppermint

Il caso Peppermint, dall'omonima casa discografica tedesca, è un caso di violazione della privacy su internet, che emerse nel settembre 2006 in Italia.

Storia

Nel 2006 l'etichetta discografica tedesca Peppermint Jam Records GmbH accusò più di 3.600 utenti di aver violato la legge, condividendo illegalmente file di cui la società deteneva il diritto d'autore. Peppermint, in pratica, sorvegliò i consumatori nel loro uso personale di internet con la complicità dei loro provider, e riuscì ad ottenere i dati relativi ai movimenti effettuati dagli utenti, all'oscuro di questi ultimi. La casa discografica si avvalse del lavoro di scouring della Logistep che, collegandosi con i propri software scova-file alle maggiori reti di file sharing (shareaza, eMule, bit torrent), aveva individuato una grande quantità di musica Peppermint.

Molti consumatori si rivolsero, subito, ai giuristi di Altroconsumo e Adiconsum denunciando il fatto di aver ricevuto una lettera da uno studio legale di Bolzano con la quale si richiedeva il risarcimento per una violazione della legge sul diritto d'autore ai danni della società discografica tedesca. Quella lettera proponeva anche una transazione per cui a fronte del pagamento di una somma, non sarebbero state avviate azioni legali nei confronti dei destinatari. La comunicazione dello studio legale, tuttavia, ometteva di specificare che essendo il reato di duplicazione abusiva perseguibile d'ufficio, il pagamento della somma richiesta non avrebbe evitato l'eventuale apertura di un procedimento penale.^[1]

Nell'autunno del 2006 Altroconsumo scrisse all'Autorità garante per la privacy denunciando le modalità illegali attraverso cui la Peppermint GmbH aveva raccolto gli indirizzi IP di utenti italiani ed intimando loro di pagare 330 Euro per la condivisione dei file musicali in Rete. L'associazione, inoltre, ricordò che era impossibile risalire, con un indirizzo IP, ad una diretta e provata identità della persona fisica, caratteristica fondamentale per la richiesta di danaro da parte della Peppermint.

Iniziò così un lungo caso, che destò l'attenzione di molti per l'attualità e l'importanza delle questioni trattate.

La prima sentenza, datata autunno 2006, fu favorevole alla casa discografica: il tribunale di Roma, infatti, considerò l'indirizzo IP un dato che non poteva essere sottoposto alla tutela della privacy.^[2] Quindi considerò lecita l'intercettazione degli indirizzi IP effettuata da parte della società svizzera Logistep su incarico della casa discografica tedesca Peppermint, ordinando così agli ISP di fornire i dati anagrafici degli utenti a cui era riferito ogni indirizzo IP. Nell'estate 2007 un comunicato stampa (del 18-06-2007) informava che i legali di Peppermint e Wind (uno degli ISP) stessero lavorando ad un accordo che prevedeva la comunicazione, da parte di Wind, di tutti gli indirizzi fisici dei consumatori titolari di indirizzi IP intercettati dalla Logistep. Per tali motivi, Wind e Peppermint chiesero la cessazione della causa.

Nel luglio 2007, grazie alle pressioni di Adiconsum e agli interventi del Garante della privacy, il Tribunale Civile di Roma rigettò i ricorsi nuovamente presentati da Peppermint per il mancato pagamento della multa, dichiarando "spionaggio telematico" l'azione della Logistep. Così si leggeva in un comunicato stampa della società per la difesa dei consumatori:

«In data odierna, 17 luglio 2007, il Centro Giuridico Adiconsum è venuto a conoscenza della pubblicazione, da parte del Tribunale Civile di Roma, nelle persone dei Giudici Paolo Costa e Antonella Izzo, di due importantissime ordinanze con cui i suddetti hanno rigettato i ricorsi presentanti congiuntamente e disgiuntamente dalle Società Peppermint, rispettivamente nei confronti della Wind e della Telecom.»

(Comunicato stampa Adiconsum del 17/07/2007)

Alla fine, nei primi mesi del 2008, dopo la decisione del Tribunale di Roma, il Garante della privacy stabilì con provvedimento febbraio/marzo 2008^[3] che Peppermint e la Logistep avevano abusato del software sviluppato da quest'ultima (in pratica un client P2P modificato per tenere traccia di dati quali l'indirizzo IP, il nome utente, l'hash del file condiviso, il valore Guid registrato dal client nel sistema operativo e altro ancora) per istituire una vera e propria attività di monitoraggio, pratica vietata dalle direttive europee sulle comunicazioni elettroniche.^[4] Secondo il Garante, oltre ad aver trattato illecitamente i dati, le società coinvolte avevano tenuto anche un comportamento non trasparente nei confronti degli utenti agendo alle loro spalle, violando quel diritto alla riservatezza nelle comunicazioni elettroniche già ribadito dal giudice. Per tali motivazioni, l'Authority stabilì la cancellazione dei suddetti dati dagli archivi delle società in oggetto entro il 31 marzo 2008.

Il Garante per la protezione dei dati personali stabilì, definitivamente, che le attività messe in atto da queste società ledevano anche il diritto di trasparenza e correttezza: la legge sulla privacy prevede infatti che l'utente debba essere informato che i suoi dati vengono raccolti ed elaborati e deve sottoscrivere una liberatoria/accettazione al trattamento dei dati personali.^[5]

In definitiva questo caso ha stabilito che:

1. quei dati non dovevano essere raccolti;
2. quei dati sono stati raccolti in modo non consono, utilizzando strumenti non consentiti (il software “file sharing monitor”, fsm, utilizzato dalla società Logistep);
3. l'uso dei dati (ovvero il chiedere un risarcimento dei danni direttamente agli utenti) non è stato corretto.

Sentenze

Prima sentenza

"L'indirizzo IP non è un dato protetto da legge sulla privacy, non illegalità azioni della Peppermint e della Logistep"^[6]

Seconda sentenza

"respinti i ricorsi della Peppermint, che richiedeva ancora una volta gli indirizzi dei clienti da parte degli ISP"^[7]

Sentenza definitiva

"i dati raccolti e il modo con cui sono stati ottenuti costituisce un illecito"^[8]

Casi simili

• "Fapav come Peppermint?" Articolo: Guido Scorza
• Caso Promusicae-Telefonica Articolo: Giuffrè editore^{[collegamento interrotto]}

Note

1. ^ Is the "Peppermint Case" a scam?
2. ^ Art. 4 (b,c,d,e) Decreto Legislativo 30 giugno 2003, n. 196 sulla privacy.
3. ^ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 28 febbraio 2008 Propaganda elettorale esonero dell'informativa
4. ^ Art. 6, 15, n. 2 e 18 direttiva 2002/58/Ce
5. ^ Art. 7 (1,2,3a,b,4)
6. ^ Tribunale Roma, ordinanza 09.02.2007 e ordinanza 19.08.2006
7. ^ ordinanza 16.07.2007
8. ^ ordinanza 13.03.2008

Voci correlate

• Garante per la protezione dei dati personali
• Diritto informatico
• Incaricato del trattamento dei dati
• Legge sulla privacy
• Codice della privacy
• Sicurezza informatica

Collegamenti esterni

• Garante della privacy decide di valutare il caso, su garanteprivacy.it.
• Chiusura istruttoria caso Peppermint, su abcdiritto.it. URL consultato il 28 aprile 2009 (archiviato dall'url originale il 7 dicembre 2008).
• Computer business Italy articolo:Un punto sul caso Peppermint ^{[collegamento interrotto]}, su cbritaly.it.
• Comunicati stampa garante della privacy sul caso Peppermint, su privacy.it.
• Articolo punto informatico:Peppermint, il Garante protegge gli utenti P2P, su punto-informatico.it.
• Intervista Massimo Mattone all'Avv. Mahlknecht, su exploit.blogosfere.it. URL consultato il 29 febbraio 2012 (archiviato dall'url originale il 17 novembre 2011).
• Sito del Garante per la protezione dei dati personali, su garanteprivacy.it.
• L’accesso ai documenti amministrativi (PDF), su governo.it.
• Codice della privacy, su dirittodellinformatica.it. URL consultato il 28 aprile 2009 (archiviato dall'url originale il 26 marzo 2009).
• Lo stato della privacy in Italia, su dataprotection.it.
• Sito dell'Istituto Italiano per la Privacy, su istitutoitalianoprivacy.it.
• La notificazione dei trattamenti di dati personali da parte degli Internet provider
• Portale sull'adeguamento al Codice della Privacy che utilizza l'open source, su securprivacy.it. URL consultato il 28 aprile 2009 (archiviato dall'url originale il 19 gennaio 2009).
• Altroconsumo, su altroconsumo.it.
• Logistep, su logistepag.com. URL consultato il 26 aprile 2009 (archiviato dall'url originale il 13 febbraio 2009).
• Decreto Legislativo 30 giugno 2003, n. 196(legge sulla privacy), su parlamento.it.
• Adiconsum, su adiconsum.it.