20 internautes Anglais ont été interpellés pour partage illégal de fichiers.

Mais, il y a un “mais”, le gouvernement Britannique a de sérieux doutes sur l’identification des internautes.

Selon techno.branchez-vous.com, les FAI émettent aussi des doutes sur Logistep, une société Anti-piratage qui inspecte les sites de partage grâce à un logiciel, ils affirment n’avoir aucune confiance dans ses capacités à identifier les pirates.

Reality Pump et Topware Interactive ont quand même entamé des procédures judiciaires contre les 20 internautes.

Parmi les 20 internautes certains n’ont jamais entendu parler de Dream Pinball (Reality Pump) ou encore Two Worlds (Topware Interactive), des jeux qu’ils auraient soi-disant partagé sur le P2P.

Besseres

Filesharing

Dieser Artikel beschäftigt sich mit Filesharing (P2P) über Torrentnetzwerke mittels Anti-Leech-Tracker (ALT). Ich schreibe für absolute Neueinsteiger auf diesem Gebiet!

Mittels P2P (Peer to Peer) wird der massenhafte Datenaustausch über das Internet eigentlich erst möglich gemacht. P2P bedeutet, dass man nicht von einem Server eine Datei herunterlädt, sondern von einem (bzw. mehreren) anderen Usern des Netzwerkes. So viel wie man herunterlädt muss man auch wieder hochladen, da in einem P2P-Netzwerk nur soviel heruntergeladen werden kann, wie die User gleichzeitig hochladen.

Wie funktioniert das genau? Man geht auf eine Internetseite auf denen sog. “Torrent”-Dateien sind. Diese kann man herunterladen und mit einem speziellen Programm wie Vuze oder uTorrent öffnen. Schon erfolgt der Download (=leechen) und bald darauf auch der Upload (=seeden) der gewünschten Datei.

Viele uninformierte Torrent-Nutzer laden von bekannten Seiten wie Pirate Bay, Bitreactor oder torrent.to herunter. Diese Seiten werden “Open-Tracker” genannt. Da diese Tracker für jedermann zugänglich sind, besteht das nicht unerhebliche Risiko, dass man eines Tages Post einer Anwaltskanzlei bekommt und aufgefordert wird ein bestimmtes Bußgeld zu zahlen.  Nach meinem Wissenstand sind bis jetzt lediglich User von Open Trackern abgemahnt worden, aber noch nicht von ALTs. Das sagt doch schon einiges über die Risikoverteilung aus, oder?

Das hoch- und herunterladen von urheberrechtlich geschütztem Material ist  natürlich strafbar und kann zivilrechtlich verfolgt werden. Seit 2008 auch dann, wenn man das Original besitzt! Um eine Klage zu vermeiden, geben sich die Rechtevertreter i.d.R. mit einer Unterlassungserklärung und einem Strafgeld (+Anwaltskosten) zufrieden. Betreiber von Torrent-Seiten oder Erstuploader (=Releaser) erwartet jedoch eine höhere Strafe, falls sie denn erwischt werden. An eure Adresse kommen die Abmahnanwälte, indem sie Firmen beauftragen, sog. Logger, die sich in die Torrentnetzwerke einschleusen und eure IP-Adresse speichern. Diese ist jedem bekannt, an den ihr hochladet oder von dem ihr herunterladet. Mittels einer Nachfrage der Staatsanwaltschaft bei eurem Provider kann eure Adresse ermittelt werden. Das strafrechtliche Verfahren wird fast immer eingestellt, aber ihr könnt (und werdet) weiterhin zivilrechtlich belangt werden. Eine sehr hilfreiche Seite, die sich mit Abmahnungen beschäftigt ist diese hier. Und eine Liste  bereits abgemahnter Werke findet man hier. Weiterhin sollte man seine Festplatte, bzw. entsprechende Partition, verschlüsseln – beispielsweise mit TrueCrypt.

Damit es gar nicht erst zu unerwünschter Post kommt, sollte man das herunterladen der Torrents von Open-Trackern tunlichst vermeiden. Es gibt Wege, die zwar nicht perfekt, aber immerhin um einiges sicherer sind. Hier kommen die sogenannten ALT (Anti-Leech-Tracker) ins Spiel. Im Gegensatz zu einem Open-Tracker muss man sich hier erst registrieren und in etwa genauso viel hochladen, wie man herunterlädt.

Doch eine Registration bei einem (gutem) ALT ist nicht einfach. Die besseren ALTs sind nur mit einer Einladung  (= Invite) zugänglich. Und diese ist relativ schwer zu bekommen, da ihr einen User dieses ALTs kennen müsst, der euch vertraut und eine Einladung schickt. Da der Einladende mit dran ist, falls ihr euch auf dem ALT nicht an die Regeln haltet werden solche Invites nicht einfach an jedermann verschenkt. Das ist aber gerade auch das, was einen ALT so sicher macht. Einen guten ALT erkennt man beispielsweise auch an der Kompetenz des Teams, Design und Performance der Seite und besonders daran, wie lange der Tracker schon besteht (ca. ab zwei Jahre ist schon ganz akzeptabel). Auch von Bedeutung ist, wo der Server, auf dem der Tracker läuft, steht. Ein Standort in Deutschland oder innerhalb der EU ist nicht besonders empfehlenswert. Viele nicht besonders auf Sicherheit bedachte Tracker werden in Deutschland betrieben, da es hier am günstigsten ist. Gibt der Tracker-Besitzer aber etwas mehr Geld für einen entfernteren Standort aus, ist das schon mal ein gutes Zeichen. Den Standort kann man mittels einer Whois-Abfrage herausbekommen. Ständige und penetrante Spendenaufrufe können ebenfalls ein Hinweis auf unfähige Tracker-Betreiber sein.

Die Suche nach einem ALT gestaltet sich mitunter schwierig, da diese teilweise häufig ihre Domain wechseln. Auch ist es unter ALT-Usern verpönt die URL öffentlich zugänglich zu machen, da eine möglichst hohe Unbekanntheit des Trackers angestrebt wird. Trotzdem kann man nach einiger Zeit googlen die Adressen vieler ALTs herausfinden. Man muss es nur wollen und etwas Geduld aufbringen. In Foren nachfragen bringt meistens nichts und ist nicht empfehlenswert. Eigeninitiative lautet hier die Devise. Mit dieser oder dieser Auflistung von ALTs mit offener Registrierung kannst du deine Suche beginnen. Auch diese Liste ist sehr umfassend. Wer meint unbedingt sofort auf einen guten, großen Tracker zu kommen, der sollte sich diesen Beitrag zu Gemüte führen

Sobald man diese erste Hürde überwunden hat, kommt schon die nächste: Wie kann ich mich registrieren? Es gibt zwar Tracker, die eine offene Registrierung haben (d.h. jeder kann sich registrieren – es ist also kein Invite nötig), aber da sich jedermann ohne Hürden einen Account zulegen kann, ist es im Prinzip möglich, dass sich Fahnder und Abmahner anmelden. Das Interesse von diesen unbeliebten Besuchern an einem ALT ist aber zum Glück (noch) ziemlich gering. Ich empfehle für den Einsteiger einen ALT zu suchen, bei dem man sich um eine Einladung im IRC (ein bekanntes Chat-System) oder per Webformular bewerben kann.

Hat man auch dies geschafft, kann man endlich Dateien herunterladen. Bevor man aber irgendetwas macht sollte man sich unbedingt die FAQ und Regeln durchlesen und vor allem auch beachten. Die Geschwindigkeiten auf ALTs sind meistens sehr gut (800 KB/s und mehr sind keine Seltenheit). Allerdings muss man beachten, dass man seine Ratio (Verhältnis Upload/Download) im Gleichgewicht hält, um nicht gesperrt zu werden. Das erscheint anfangs vielleicht etwas lästig, aber ist notwendig, damit das ganze System überhaupt funktionieren kann.

Falls die gewünschten hohen Geschwindigkeiten trotz guter Leitung nicht erreicht werden kann das mehrere Gründe haben. Zum einen sind einfach nicht genug Seeder vorhanden, die das File hochladen. Zum anderen kann dein Bittorrent-Client oder Netzwerk nicht richtig konfiguriert sein. Im groben muss man meist lediglich die Ports für den Router freischalten (Stichwort: port forwarding). Hilfe dazu findet man reichlich im Netz.

Happy sharing!

Die britische Kanzlei Davenport Lyons, die bereits im Sommer Aufsehen erregte, weil sie in Zusammenarbeit mit der Schweizer Firma Logistep massenhaft Forderungen für ein behauptetes Tauschen von Computerspielen verschickte, arbeitet nun auch mit der deutschen Firma DigiProtect zusammen. Für die Ermittlung der IP-Nummern sorgt dabei die Darmstädter GmbH DigiRights Solutions, über die bisher recht wenig bekannt ist.

Davenport Lyons verlangt in massenhaft versandten Anschreiben eine Unterlassungserklärung und 500 Pfund für angebliche Urheberrechtsverletzungen zuzüglich der Kosten für die Ermittlung von Namen und Adressen via Logistep und Internet-Provider. TorrentFreak zufolge sollen lediglich 40 bis 60 Prozent der mit dem Computerspieletauschvorwurf konfrontierten Briten die Forderung beglichen haben.

Dabei spielt möglicherweise auch ein Fall eine Rolle, der für Schlagzeilen gesorgt hatte: Davenport Lyons hatte einem älteren schottischen Ehepaar unterstellt, das Atari-Spiel Race 07 in einem Filesharing-System angeboten zu haben und wollte Geld dafür. Das Ehepaar wandte sich jedoch an das Verbrauchermagazin Which? Computing, wo es öffentlich geltend machte, nie im Leben ein Computerspiel gespielt, wohl aber WLAN zu haben. Eine von der Kanzlei öffentlich präsentierte Gerichtsentscheidung zu ihren Gunsten erwies sich dagegen als bloßes Versäumnisurteil, das erging, weil eine Beklagte nicht vor Gericht erschien.

weiterlesen bei heise-online

Quelle: heise.de/Telepolis

P2P e diritto alla riservatezza - il caso Peppermint

Si riporta un breve resoconto di quanto accade nel 2007 a proposito del tentativo congiunto delle società Logistep e Peppermint di acquisire dalle compagnie telefoniche i dati personali degli utenti che si assumeva avessero scaricato e condiviso – tramite Emule, Kazaa ed altri sistemi P2P – con milioni di utenti file musicali coperti dal diritto d’autore. In molti casi le compagnie telefoniche fornirono tali dati, con identità e residenza dei presunti autori dell’illecito, cui furono inviate lettere raccomandate da uno studio legale che contestava l’addebito e proponeva una transazione bonaria per ca. 300,00 cadauno. La situazione determino’ un piccolo putiferio e l’insorgenza della community musicale di internet, con scambio di carte bollate e ordinanze di Tribunale, quasi tutte favorevoli agli utenti. Decisivo poi il parere, nel febbraio del 2008, dell’autorità Garante per la Privacy, che dissipo’ qualsiasi dubbio.

L’introduzione è lasciata ad un mio articolo del 16 luglio 2007.

Caso Peppermint: che fine ha fatto la privacy?
Con riferimento al famigerato caso Peppermint, nonostante alcuni reclami di Isp siano stati respinti dal Tribunale di Roma, ci tengo a ricordare che vigono in Italia norme severe, previste dal Codice Privacy e dal codice di procedura penale, a tutela degli utenti e dei fornitori di servizi di connessione. Innanzitutto informazioni relative ai contenuti ed all’identità dei condivisori in P2P possono essere carpite all’insaputa, a seguito di intercettazioni telematiche, esclusivamente dalle Autorità di Polizia e Giudiziaria. Le altre sono abusive, illecite penalmente e per giunta non utilizzabili in giudizio. Inoltre i dati personali possono essere utilizzati per l’esercizio di azioni giudiziarie solo se espressamente raccolti e conservati a tal fine. I provider dunque non potrebbero mettere a disposizioni le informazioni relative alle persone nè tantomeno i contenuti scaricati, salvo che non vi sia richiesta da parte delle Autorità che svolgono indagini penali, le uniche per altro legittimate alla conduzione di intercettazioni telematiche.

Conformemente a quelle che sono le opinioni di un umile giurista di provincia, già l’anno scorso l’Avvocatura dello Stato esprimeva la posizione del Governo italiano alla Corte di Giustizia delle Comunità Europee con riferimento all’analoga vicenda spagnola Promusicae c.Telefonica (richiesta di disclosure di identità e contenuti scaricati da utenti Kazaa): “Il diritto comunitario, nello specifico gli artt. 15, n. 2, e 18 della direttiva del Parlamento europeo e dei Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno; gli artt. 8, nn. I e 2 della direttiva del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione; l’art. 8 della direttiva del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto dei diritti di proprietà intellettuale, e gli artt. 17, n. 2 e 47 della Carta dei diritti fondamentali dell’Unione europea, impone agli Stati membri di circoscrivere all’ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale – ad esclusione, quindi, dei processi civili – il dovere di conservare e mettere a disposizione i dati sulle connessioni ed il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della società dell’informazione, che incombe agli operatori di rete e di servizi di comunicazione elettronica, ai fornitori di accesso alle reti di telecomunicazione ed ai fornitori di servizi di conservazione dei dati. Roma, 13 ottobre 2006 Avvocato dello Stato Sergio Fiorentino”.

Riporto infine l’opinione, a mio parere pienamente condivisibile, recentemente espressa dal Garante della Privacy a proposito dell’affaire Peppermint:

“Gli approfondimenti svolti hanno permesso di rilevare che vi sono rilevanti profili attinenti specificamente alla protezione dei dati personali. Allo stato degli atti disponibili tali profili non comprovano la liceità e la correttezza del trattamento svolto dalle società a prescindere dalla circostanza che si tratti di dati di traffico. I medesimi profili attengono, in particolare, alla liceità stessa del monitoraggio in rete, alla notificazione dei trattamenti, al prior checking e all’informativa preliminare agli utenti interessati. Pertanto, questa Autorità ha instaurato contestualmente un distinto procedimento amministrativo di controllo per verificare autonomamente la liceità e la correttezza dei trattamenti dei dati personali effettuati dalle predette società unitamente alla Logistep AG”.

Avv. Manuel M. Buccarella

16/07/2007
Internet: illecito “spiare” gli utenti che scambiano file musicali e giochi

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, PROVVEDIMENTO 28 febbraio 2008

Internet – Caso Peppermint: illecito ‘’spiare” gli utenti che scambiano file musicali e giochi

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTE le recenti ordinanze con le quali il Tribunale di Roma –come richiesto da questa Autorità – ha rigettato alcuni ricorsi con i quali le società Peppermint Jam Records GmbH (di seguito, Peppermint), casa discografica con sede in Germania e Techland sp. z. o.o. (di seguito, Techland), società che elabora e commercializza giochi elettronici avente sede in Polonia, intendevano ottenere da taluni fornitori di servizi di comunicazione elettronica la comunicazione delle generalità di soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer to-peer;

RILEVATO che tali ricorsi si basavano sull’attività svolta per conto e su autorizzazione delle predette società da Logistep AG (di seguito, Logistep), società svizzera che, attraverso un’attività di monitoraggio delle reti peer-to-peer effettuata tramite un software proprietario, aveva individuato numerosi indirizzi Ip i cui titolari erano stati considerati responsabili della predetta condotta illecita;

VISTA la nota del 25 maggio 2007 con la quale l’Autorità ha avviato accertamenti volti a verificare la liceità e la correttezza dei trattamenti di dati personali svolti dalle predette società, alle quali è stato quindi chiesto di comunicare ogni informazione e documentazione utile per valutare le modalità con le quali, anche avvalendosi dell’attività di altri soggetti, sono stati concretamente raccolti e utilizzati i dati personali di utenti identificati o identificabili; rilevato che con tale nota si è chiesta, altresì, collaborazione e cooperazione alle autorità di protezione dei dati personali dei Paesi nei quali risultano stabilite le società medesime (Repubblica federale tedesca, Polonia e Svizzera);

VISTE le note del 18 giugno e del 5 luglio 2007 con le quali l’avv. Otto Mahlknecht, che ha curato gli interessi delle società Peppermint e Techland, nel richiamare le deduzioni formulate nei diversi procedimenti giudiziari, ha fornito altri elementi conoscitivi sul funzionamento del software utilizzato da Logistep nell’attività svolta su incarico delle altre due società, allegando la perizia di un esperto del settore;

VISTA la nota del 19 giugno 2007 con la quale Logistep ha fornito altre informazioni in merito alla propria attività e ha comunicato l’avvio di un’attività di collaborazione con l’autorità svizzera di protezione dati finalizzata a verificare la liceità dell’attività svolta;

VISTA la comunicazione del 20 giugno 2007 con la quale l’autorità polacca per la protezione dei dati ha rappresentato di aver effettuato un accertamento ispettivo e di aver rilevato che Techland non ha svolto direttamente le attività necessarie per individuare le persone che scambiano illecitamente su reti peer-to-peer il software da essa sviluppato, e che tali attività sono state svolte, su propria autorizzazione, da Logistep, nonché da Logistep Polska, e curate poi dallo studio legale italiano dell’avv. Otto Mahlknecht;

VISTA la nota del 22 giugno 2007 dell’autorità per la protezione dei dati personali per la Bassa Sassonia;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”) e, in particolare, gli artt. 11, 13 e 122 del Codice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. Oggetto del provvedimento

Il presente provvedimento ha per oggetto la liceità e correttezza del trattamento di dati personali relativi a utenti identificabili operanti su reti peer-to-peer (di seguito, anche “p2p”) che è stato effettuato a cura dapprima di Logistep AG e Logistep Polska su autorizzazione di Peppermint e Techland e, poi, presso il predetto studio legale italiano. Tale trattamento è avvenuto in due fasi:

a) la prima, è consistita nella raccolta e nell’elaborazione automatizzata, anche nell’ambito di banche dati, di innumerevoli informazioni di carattere personale estratte tramite reti peer-to-peer per mezzo di un software denominato “file sharing monitor” (di seguito, fsm) utilizzato da Logistep;

b) la seconda, si è basata sulla richiesta all’autorità giudiziaria italiana in sede civile di ordinare a taluni fornitori di servizi di comunicazione elettronica di rivelare le generalità degli intestatari degli interessati. A seguito di alcune prime pronunce del Tribunale di Roma che hanno provveduto in tal senso (cfr. causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza del 18 agosto 2006 confermata, in sede di reclamo cautelare della Wind, con ordinanza del 22 settembre 2006 e, attualmente, in attesa che il giudice determini le modalità di attuazione dell’ordinanza di accoglimento; causa Peppermint c/Telecom Italia S.p.A., ordinanza del 28/29 novembre 2006, riformata in sede di reclamo della Peppermint con ordinanza 9 febbraio 2007), il predetto legale ha inviato diverse centinaia di lettere a persone individuate quali intestatari di una linea di collegamento a Internet. Con tali lettere si è contestata la violazione dei diritti derivanti dalla produzione di fonogrammi e si è proposta una risoluzione bonaria, alternativa anche alla denuncia in sede penale, basata sul rispetto di alcune condizioni comprensive di un versamento di 330 euro.

Il presente provvedimento non riguarda, invece, la connessa questione oggetto più specificamente delle predette controversie instaurate presso il Tribunale di Roma nelle quali si è costituito anche il Garante e in cui, a modifica del primo orientamento giurisprudenziale sopramenzionato, il Tribunale ha statuito che i fornitori di servizi di comunicazione elettronica, allo stato della legislazione vigente, non possono comunicare in sede giurisdizionale civile a Peppermint e Techland i nominativi degli interessati ritenuti responsabili di violazioni del diritto d’autore in rete. Ciò, stante la specifica disciplina della conservazione dei dati di traffico, prevista solo per finalità di accertamento e repressione di reati (art. 132 del Codice; cfr. causa Peppermint e Techland c/Wind Telecomunicazioni S.p.A., ordinanza 14 luglio 2007; causa Peppermint e Techland c/ Telecom Italia S.p.A.,ordinanza 14 luglio 2007; causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza 26 ottobre 2007; cfr., anche, comunicato stampa del 17 luglio 2007, pubblicato sul sito web dell’Autorità).

Tale profilo della comunicazione dei dati di traffico è stato esaminato, da ultimo, dalla Corte di giustizia delle Comunità europee la quale si è pronunciata su una questione per molti aspetti simile (sentenza 29 gennaio 2008, pronunciata nella causa C-275/06 Promusicae c/ Telefonica de Espana Sau).

La Corte ha confermato che il diritto comunitario consente agli Stati membri di circoscrivere all’ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale -a esclusione, quindi, dei processi civili- il dovere di conservare e mettere a disposizione i dati sulle connessioni e il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della società dell’informazione. La Corte ha rilevato che anche i dati di traffico conservati per finalità di fatturazione non possono essere utilizzati in “controversie diverse da quelle insorgenti tra i fornitori e gli utilizzatori, relative ai motivi della memorizzazione dei dati avvenuta per attività previste dalle disposizioni [dell'art. 6 della direttiva 2002/58/Ce]” (cfr. art. 123 del Codice); da ciò, ha escluso la possibilità che tali dati potessero essere messi a disposizione per controversie civili relative ai diritti di proprietà intellettuale (cfr. punto 48 della sentenza; artt. 15, n. 2, e 18 della direttiva 2000/31/Ce relativa a taluni aspetti giuridici dei servizi della Società dell’informazione, in particolare il commercio elettronico, nel mercato interno; artt. 8, nn. 1 e 2 direttiva 2001/29/Ce sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione; art. 8 direttiva 2004/48/Ce sul rispetto dei diritti di proprietà intellettuale; artt. 17, n. 2 e 47 Carta dei diritti fondamentali dell’Unione europea).

2. Risultanze istruttorie e funzionamento del software fsm

Nelle centinaia di lettere inviate a utenti in Italia, il legale che ha agito per conto di Peppermint ha dichiarato che sulla base dei risultati acquisiti grazie al predetto software “antipirateria” appositamente realizzato, ritenuto di assoluta affidabilità e attendibilità, è stato possibile accertare che:

ciascun destinatario delle lettere aveva violato il diritto d’autore a partire dalla linea di rete Internet risultante nella rispettiva titolarità, mettendo indebitamente file musicali a disposizione di terzi;
ciò, risultava avvenuto mediante un software di condivisione contemporanea di file (c.d. peer-to-peer) che altri utenti risultavano aver utilizzato per connettersi al p.c. dei destinatari delle lettere e per scaricare i file musicali da una cartella a questo dedicata.
Lo scambio di file via Internet rientra nella nozione di “comunicazione” anche quando ha per oggetto contenuti protetti dal diritto d’autore, tenuto conto che la nozione stessa include lo “scambio o la trasmissione di informazioni”, “tramite un servizio di comunicazione elettronica accessibile al pubblico”, tra “un numero finito di soggetti” (cfr. art. 2, lettera d), primo periodo, della direttiva 2002/58/CE e art. 4, comma 1, lett. l) del Codice). Quest’ultimo riferimento tende a distinguere l’ambito delle “comunicazioni private” da quello delle “comunicazioni al pubblico”. La circostanza che il sistema peer-to-peer consenta l’accesso a un numero potenzialmente elevato di utenti non rende “infinito”, o del tutto indeterminabile, il numero dei soggetti della comunicazione. Quest’ultima, è infatti rivolta non a una platea indistinta di utenti, ma a soggetti delimitati che possono essere identificati. Manca, tra l’altro, la simultaneità e l’unicità della trasmissione che sono caratteristiche qualificanti di una “comunicazione al pubblico” (come è nel caso del “servizio di radiodiffusione” -c.d. broadcasting-, espressamente escluso dall’ambito applicativo della nozione di comunicazione elettronica: cfr., anche, art. 4, comma 2, lett. a) del Codice).

L’attività di ricognizione condotta da Logistep risulta essersi focalizzata su due importanti reti p2p, GNUtella e eDonkey e utilizzando il sistema software fsm, sviluppato integrando e modificando software liberamente disponibili sulla rete per collegarsi a reti p2p.

Il software fsm consente:

a) usuali operazioni effettuabili tramite i comuni client, eccettuata la condivisione di file eventualmente scaricati dalla rete;
b) l’archiviazione a scopo di documentazione di tutte le informazioni usualmente caratterizzate da “volatilità”, perché non necessarie una volta che la trasmissione dei file è avvenuta;
c) di correlare le attività sulle reti p2p di un determinato utente al variare dell’indirizzo Ip assunto, nonché del provider utilizzato (il clock del programma risulta sincronizzato con una sorgente esterna, mentre viene tenuta traccia dell’identificativo Guid, generato al momento dell’installazione dei client).

In sostanza, il software fsm permette di tenere traccia della disponibilità in rete di un certo “contenuto”; di verificarne l’effettiva possibilità di acquisizione, effettuandone lo scaricamento (download), ovvero la copia in rete dalle aree di condivisione degli utenti che ospitano quel contenuto verso i propri computer; di verificarne la segnatura digitale con algoritmo SHA1 o MD5 (in dipendenza dal protocollo p2p utilizzato); di controllarne la diffusione, verificando l’esistenza di altre condivisioni presuntivamente riferibili a una pregressa attività di “download” (sul presupposto che la quasi totalità degli utenti che condividono uno specifico contenuto lo abbiano a loro volta acquisito da un’altra fonte nella rete, tranne eventualmente il soggetto che originariamente lo abbia messo per la prima volta in condivisione, con una specifica segnatura digitale).

In particolare, il sistema fsm consente la raccolta dei seguenti dati: indirizzi Ip dell’offerente, il nome e il valore Hash del file, la misure del file, l’user name, il Guid, la data e l’ora del download.

In altre parole, come emerge dalla stessa perizia prodotta dall’avv. Mahlknecht, il software fsm accerta da chi, e quando, viene offerto quale file per un downloading e da chi, quando e per quanto tempo viene effettivamente copiato tale file; riconosce i tentativi dei partecipanti di sistemi di condivisione file di modificare il loro indirizzo Ip; organizza tali informazioni in una banca dati.

Anche se non risulta in atti che il sistema fsm svolga attività intrusive o installazioni di software o di altri componenti sul terminale dell’utente che partecipa al file sharing, e sebbene non risultino allo stato significativi elementi di diversità nelle modalità di funzionamento di tale software rispetto ai normali client che agiscono sulle reti p2p, il trattamento svolto da Logistep su incarico di Peppermint e Techland non può comunque ritenersi lecito.

3. Profili di illiceità e non correttezza del trattamento

Il trattamento in questione è stato inizialmente effettuato a partire da un Paese (la Svizzera), dotata di una legge di protezione dei dati e che ha ratificato la Convenzione di Strasburgo n. 108/1981, e la cui autorità di protezione dei dati ne ha già dichiarato, per questa parte, l’illiceità.

La Préposé fédéral à la protection des donne et à la transparence (PFPDT), con una recente pronuncia adottata all’esito di un procedimento avviato anche su impulso di questa Autorità, ha ritenuto che il trattamento svolto da Logistep su incarico di Peppermint e Techland e che ha riguardato anche informazioni memorizzate su p.c. di utenti italiani, ha violato alcuni princìpi fondamentali della legge federale sulla protezione dei dati personali (decisione del 9 gennaio 2008).

E’ risultato in particolare violato il principio di liceità (in ragione del fatto che la raccolta dei dati è stata effettuata in mancanza di una base legale esplicita). Si è ritenuto in secondo luogo violato il principio di finalità (in quanto la registrazione sistematica dei dati degli utenti ha perseguito scopi diversi da quelli tipici delle reti peer-to-peer). Non sono stati, altresì, rispettati i princìpi di buona fede e trasparenza, in quanto la raccolta dei dati è avvenuta senza che gli interessati potessero esserne consapevoli (sia per le circostanze nelle quali la raccolta è avvenuta, sia perché non informati) e i dati possono essere stati raccolti all’insaputa di abbonati che non sono, necessariamente, i soggetti coinvolti nello scambio dei dati. Infine, è risultato violato il principio di proporzionalità (in quanto il diritto alla segretezza delle comunicazioni è risultato limitabile solo nell’ambito di un bilanciamento con un diritto di pari grado e, quindi, allo stato, non per l’esercizio di un’azione civile).

Non risultano in atti elementi più specifici di valutazione delle modalità di trattamento di dati che è stato effettuato a cura di Logistep Polska, il quale, qualora si sia svolto con le modalità sopraindicate, si è posto anch’esso in violazione dei princìpi di trasparenza, finalità, correttezza e buona fede richiamati sia dalla Convenzione di Strasburgo, sia dalla direttiva 95/46/Ce e dalla stessa disciplina nazionale di protezione dati (cfr. art. 5 Conv. n. 108/1981 cit., art. 6 direttiva 95/46/Ce).

I trattamenti in esame, effettuati in modo massivo e capillare per un periodo di tempo prolungato e nei riguardi di un numero elevato di soggetti, hanno consentito di tenere traccia analitica delle operazioni compiute da innumerevoli, singoli utenti relativamente a specifici contenuti protetti dal diritto d’autore.

Per le modalità con le quali la raccolta dei dati è stata svolta, si è configurata un’attività di monitoraggio vietata a soggetti privati dalla direttiva 2002/58/Ce (art. 5; cfr. art. 122 del Codice).

Le reti p2p sono finalizzate allo scambio fra utenti di dati e file per scopi sostanzialmente personali, mentre il software fsm “non è destinato allo scambio di dati, ma al monitoraggio ed alla ricerca di dati, che utenti di reti P2P mettono a disposizione a terzi” (cfr. nota del 5 luglio 2007 dell’Avv. Otto Mahlknecht). I dati che gli utenti mettono in rete possono essere utilizzati per le finalità per le quali tale pubblicazione avviene (cfr., fra gli altri, Provv. del 14 giugno 2007, doc. web n. 1424068). L’utilizzo dei dati dell’utente delle reti peer-to-peer può, quindi, avvenire per le finalità sue proprie e non già, in modo non trasparente, per scopi ulteriori, quali quelli perseguiti da Logistep, Peppermint e Techland.

Il trattamento è risultato viziato anche sotto il profilo della trasparenza e della correttezza, posto che non è stata fornita alcuna informativa preliminare agli utenti. Dalla descrizione resa dalle società sul funzionamento del software fsm si è potuto rilevare che, mentre gli indirizzi Ip sono stati acquisiti da un terzo rispetto agli utenti (il tracker), gli altri dati (ossia, i file offerti in condivisione, data e ora del download) sono stati raccolti direttamente presso gli interessati.

Il Tribunale di Roma ha riconosciuto, per tali informazioni, la natura di “dati personali” relativi a utenti identificabili i quali dovevano essere informati di tale ulteriore e inatteso trattamento (v. anche Parere del Gruppo Art. 29 del 18 gennaio 2005 in materia di diritti di proprietà intellettuale, nel quale è stato rilevato che nessun dato personale può essere raccolto senza che l’interessato sia correttamente e preventivamente informato, in maniera trasparente, sulle eventuali modalità di controllo e sull’identità del soggetto che lo effettua, prima che il trattamento abbia inizio e prima che l’interessato fornisca i dati personali attraverso il download ).

4. Conclusioni

Come premesso, una seconda fase del trattamento dei dati connesso all’invio delle lettere è avvenuta nel territorio dello Stato, utilizzando dati personali relativi a persone identificabili e raccolti illecitamente.

Si rende pertanto necessario, a definizione della complessa istruttoria preliminare, provvedere in ordine all’ulteriore utilizzazione di tali dati sul territorio dello Stato. Ciò, senza che occorra proseguire gli accertamenti per verificare anche se, e in quale misura, la disciplina italiana di protezione dei dati trovi in tutto o in parte applicazione anche alla prima fase di raccolta automatizzata dei dati, alla luce della disposizione normativa secondo cui la legge italiana si applica ai trattamenti effettuati da soggetti stabiliti nel territorio di un Paese non appartenente all’Unione europea il quale impieghi, per il trattamento, strumenti situati nel territorio dello Stato (quali i p.c. degli utenti italiani, dai quali Logistep ha chiaramente tratto gli indirizzi Ip: art. 5 del Codice).

In ragione delle predette risultanze non possono che confermarsi le valutazioni di illiceità e non correttezza già tratteggiate nelle memorie di costituzione in giudizio nelle controversie dinanzi al Tribunale di Roma –e note alle controparti –, e conseguentemente disporsi il divieto nei confronti delle predette tre società di ulteriore utilizzazione dei dati personali raccolti illecitamente, nonché la loro cancellazione entro il termine del 31 marzo 2008.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice dispone, nei termini di cui in motivazione, nei confronti di Peppermint Jam Records GmbH, Techland sp. z. o.o. e Logistep AG, il divieto dell’ulteriore trattamento dei dati personali relativo a soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer-to-peer e ne dispone la cancellazione entro il termine del 31 marzo 2008.

Roma, 28 febbraio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli

Las autoridades suizas han acusado a la firma Logistep de violación de la privacidad, dandole 30 días de plazo para que deje monitorizar y espiar a los usuarios de las redes P2P. De no hacerlo será llevada ante un tribunal federal.

La primera pregunta que surge es como trabaja Logistep:

Logistep utiliza un software llamado File Sharing Monitor enfocado a monitorizar usuarios de redes Edonkey y Gnutella. Funciona así:

• El software se conecta a un servidor P2P y hace una búsqueda por un nombre de archivo, monitorizando todas las direcciones IP que ofrezcan ese archivo.
• Se hace un intento de bajar el archivo, si la descarga se lleva a cabo, se guardan la siguiente información en una base de datos:
• Nombre de archivo, tamaño del archivo, IP del que lo distribuye, protocolo p2p, aplicación p2p, la hora y el nombre de usuario.
• Una vez captados los datos, el programa hace un Whois automático, y es capaz de enviar una carta a ese ISP en la que se le informa de que está cometiendo una infracción.

Logistep trabaja conjuntamente con bufetes de abogados, que tienen su residencia en países en los que las descargas de material con copyright esta penado.

Un ejemplo de ello es el bufete Schutt&Waetke de Karlsruhe (Alemania). Este bufete tiene el dudoso honor de haber enviado más de 40 mil Mahnungen(amonestaciones con reclamación de pago) con sus correspondientes denuncias ante la policia de Karlsruhe en un periodo de medio año. Este hecho constituye lo que los alemanes llaman Massenmahnungen o denuncias en masa que en Alemania es constitutiva de delito.

De hecho algunos grupos de internautas alemanes están organizandose para denunciar tanto a Logistep como a los bufetes de abogados con los que trabaja (a los que presumiblemente vende los datos de los infractores) para presentar una demanda conjunta por quebrantar las leyes de protección de datos.

Si apre un altro caso spinoso riguardante il p2p: sono circa partite 4000 raccomandate che dovrebbero raggiungere altrettanti utenti italiani che secondo alcuni discografici avrebbero violato le norme sul diritto d’autore. In questa lettera, spedita da uno studio legale realmente esistente (Mahlknecht & Rottensteiner che lavora per l’etichetta tedesca Peppermint), viene chiesto di cancellare il file stesso, di pagare 330 euro di multa per evitare incombenze penali e soprattutto…di non rifarlo mai più cattivelli… Sì perché è proprio questa la cosa strana, il modo ed il tono con cui è stata scritta questa lettera.

Leggendo sui vari forum, si dibatte su mille questioni e su altrettanti punti di vista, sul rivolgersi ad associazioni di consumatori, sul chiedere assistenza a legali prima di pagare e così via. Una delle cose che mi da da pensare è che chiunque a questo punto può richiedere un indirizzo ip, scavalcando la privacy di qualsiasi persona, e spedirti a casa una lettera. Forse l’obiettivo è creare un precedente, puntando sulla paura dell’utente di incorrere nel penale.

Vorrei far notare però come la cosa sia molto strana, da dimostrare: chi dice che ho scaricato io il file? E se a causa di un virus, malware, hacker, ecc…qualcuno scaricava dal mio pc? E se l’ho condiviso ma nessuno l’ha scaricato? E se il download era corrotto? E se avevo una canzone di cristina d’avena e l’ho rinominata col nome di uno degli artisti incriminati per fare uno scherzo? E se non ho più niente sull’hard disk o addirittura non ho più il computer da cui avrei scaricato? Ecc… Insomma, nella lettera non è indicato né documentato approfonditamente un bel niente, quindi inviterei per ora a mantenere la calma, cosa che la Peppermint non vuole (credo) per incassare velocemente un po’ di soldi, senza che nessuno si informi o prenda contromosse.

Sempre spulciando sui forum, gli artisti della casa discografica per cui hanno monitorato (legalmente o illegalmente?) migliaia di utenti, sarebbero questi: Carl Keaton Jr. ; Colin Rich ; Emma Lanford ; James Kakande; Mousse T.; Omar; Roachford; SO PHAT!; VD3 Beatz ; Warren G. Già si legge riguardo a boicottamenti o passaparola per non comprare più prodotti di quella casa discografica o degli artisti stessi (una pubblicità molto cattiva insomma).

Non oso poi immaginare il destino della Peppermint se perdesse tutte le cause. Per ora insomma siamo nella fase uno, il caos, forse quella a cui puntavano proprio i discografici.

P.S.= il senatore Cortiana ha scritto al garante della privacy