Con la sentenza del 24 gennaio 2025, la Corte d’appello di Parigi (RG n° 21/10238 Pôle 5 – Chambre 11) è entrata a gamba tesa nel delicato dibattito relativo alla qualità degli strumenti informatici dei professionisti.
La sentenza conferma in particolare una pronuncia del Tribunale di Parigi che vede contrapposti un legale (e il suo Ordine professionale) e Google.
Indice degli argomenti
I fatti
Un avvocato parigino apre un account gmail gratuito e inizia ad utilizzarlo sia per fini personali che per finalità lavorative. Essendo un penalista, inserisce nel cloud Google Drive connesso all’account di posta documentazione relativa ai casi che segue, tra cui in particolare un caso relativo ad un procedimento per pedopornografia; nella cartella dedicata al caso il legale versa il materiale probatorio, che include 77 immagini esplicite di minori.
Il poliziotto algoritmico
Quel che il legale non sa è che i file che carichiamo sui servizi Google sono sottoposti all’esame di algoritmi specializzati, una sorta di “poliziotto algoritmico”, un software che esamina i nostri contenuti e può segnalare al fornitore del servizio potenziali violazioni di legge e/o dei termini contrattuali.
Di fatto questo software opera in due modi:
- le immagini già individuate come relative a materiale pedopornografico vengono marcate con un hash e se questo hash riappare in altri dispositivi viene immediatamente individuato;
- un’intelligenza artificiale sulla base delle immagini già acquisite è in grado di individuare immagini simili e di marcarle.
Il software intercetta quindi le fotografie e le marca come “potenziale reato”, il revisore umano di Google conferma che si tratta di immagini di pedopornografia e Google in questi casi solitamente reagisce congelando l’account, facendone una copia forense, inviandola alla polizia (nel caso invece Google pare essersi limitata ad una segnalazione al National Center for Missing and Exploited Children, Nmec, negli USA) e interrompendo ogni rapporto con l’utente.
Impedire l’accesso all’account da Google
“Chiudere ogni rapporto” vuol dire inibire all’utente di accedere al suo account Google, ivi incluse email, fotografie, spazio cloud, calendario eccetera.
Per un soggetto che usa quell’account promiscuamente per famiglia e lavoro è un danno esiziale.
Ebbene il nostro avvocato parigino ovviamente reagisce e, spalleggiato dal suo Ordine professionale, chiede a Google, davanti al Tribunale di Parigi, di re-immetterlo nell’account sospendendo i provvedimenti presi, dal momento che lui era legittimamente in possesso del materiale pedopornografico per finalità difensive.
Il Tribunale di Parigi rigetta tutte le richieste del legale salvo quella di ricevere una copia delle sue email.
L’avvocato non demorde e si rivolge alla Corte d’Appello di Parigi.
L’intervento della Corte d’appello: spunti per legali e professionisti
La Corte d’Appello rigetta le domande del legale (e le contrapposte richieste di risarcimento danni di Google) e offre spunti interessanti per i legali e per tutti i professionisti.
In primo luogo, la Corte d’Appello conferma che Google era legittimato ad analizzare i dati immessi nel cloud dai suoi utenti, come del resto esplicitato nelle condizioni contrattuali (quelle che spesso tendiamo a non leggere) dove, tra l’altro, si precisa anche, nel caso di individuazione di materiale pedopornografico, “Rimuoveremo questi contenuti e prenderemo le misure necessarie, anche segnalandoli al Centro nazionale per i bambini scomparsi” (‘We will remove this content and take the necessary action, including by reporting this content to the National Center for Missing ‘Exploring Children’).
La Corte rileva poi che la qualifica professionale del soggetto che ha inserito i dati (e la conseguente legittimazione a detenere i dati stessi) non poteva essere tenuta in considerazione da Google, perché, per stessa ammissione del legale, si trattava di un account che lui utilizzava promiscuamente per finalità personali e professionali.
Di fatto quindi la Corte parigina rigetta tutte le domande delle parti, confermando la decisione del Tribunale.
I T&C di Google
La lezione di questa sentenza è senz’altro quella di verificare con attenzione le condizioni contrattuali di Google, che, in effetti, legittimano reazioni simili a quelle viste nel contenzioso del legale francese anche in tutta una serie di ulteriori ipotesi ovvero l’upload di file che potrebbero ricondurre a:
- attività pericolose e illegali;
- pratiche ingannevoli, attività fraudolenta e frodi;
- molestie, bullismo e minacce;
- incitamento all’odio;
- furto d’identità e rappresentazione ingannevole;
- malware e contenuti dannosi simili;
- contenuti ingannevoli;
- immagini intime non consensuali;
- informazioni personali e riservate;
- phishing;
- beni e servizi regolamentati;
- materiali sessualmente espliciti;
- spam;
- interferenze e utilizzo illecito del sistema;
- immagini di minorenni non autorizzate;
- violenza e sangue;
- organizzazioni e movimenti violenti.
In relazione a tutti questi casi Google dice (nella privacy policy di Google Drive): “Utilizziamo sistemi automatizzati che analizzano i tuoi contenuti per [..] riuscire a rilevare i comportamenti illeciti quali spam, malware e contenuti illegali”.
Il legittimo interesse di Google
Quel che però stona (e il problema non è stato oggetto di esame nella causa parigina) è che Google afferma di trattare tali dati non per un suo obbligo legale, bensì per il proprio legittimo interesse, base giuridica piuttosto fragile per un’attività di ricerca così estesa ed informatizzata (e peraltro automatizzata) e che lascia margine all’opposizione dell’interessato ove il suo legittimo interesse prevalga.
Va in ogni caso detto che solitamente Google, di fronte a violazioni diverse da quelle relative ai contenuti pedopornografici, non tronca senza preavviso i rapporti con l’utente, ma si limita a flaggare il file sospetto (impedendone la condivisione) minacciando di sospendere l’account in caso di ripetute violazioni.
Cosa si può fare
In ogni caso resta da domandarsi cosa si può fare di fronte alla (terribile) prospettiva, per un professionista, di perdere tutti i dati di email, cloud, calendario, contatti eccetera, da un giorno all’altro, vediamo cosa si può fare.
Non va dimenticato infatti che la stessa trafila del legale francese è toccata a dei padri di famiglia che avevano fotografato i figli, su richiesta del pediatra per ottenere un rapido consulto.
Anzitutto bisogna iniziare a entrare nell’ordine di idee per cui un professionista che utilizza strumenti email e/o cloud gratuiti o comunque destinati al mercato consumer (ma anche strumenti di intelligenza artificiale gratuiti o comunque destinati al mercato consumer) sta violando la normativa, sia in tema di tutela dei dati personali (in quanto Google & Co. non si fanno certo nominare responsabili del trattamento quando si apre un account gratuito, destinato all’uso personale e non professionale) sia quella deontologica, che variamente prescrive in capo ai professionisti un obbligo di diligenza, competenza e qualità del servizio prestato, oltre al rispetto della riservatezza del cliente e del segreto.
Nel caso del legale parigino l’aver acquistato un account di tipo Google Workspace (ma lo stesso vale per i prodotti enterprise dei principali concorrenti) avrebbe consentito al professionista di argomentare con maggiore efficacia la natura professionale dell’account e il fatto che Google avrebbe dovuto tenerne conto, e gli avrebbe consentito comunque di farsi forza di condizioni di servizio maggiormente tutelanti (per altro, per la natura di responsabile del trattamento assunta da Google nel trattare i dati del legale e per i conseguenti obblighi assunti nel Data processing agreement proposto da Google).
Gli accorgimenti per i professionisti
Ci sono poi servizi più rispettosi dei nostri dati e che arrivano a proporre una crittografia del dato zero-access (come protonmail).
In ogni caso, se si utilizzano servizi cloud come quelli di Google, è opportuno applicare i seguenti accorgimenti:
- inserire file “borderline” in formato crittografato nel sistema cloud in uso (per esempio, l’upload di un file zip crittografato può essere un buon modo non solo per archiviare, ma anche per condividere con i clienti documenti sensibili);
- fare frequenti backup in locale di quanto versato nei sistemi cloud;
- preferire il mirroring dei file in locale alla presenza degli stessi solo in cloud;
- utilizzare più sistemi di cloud (per i medesimi file).
