L’authority ha infatti chiuso l’istruttoria avviata su tale caso. La Peppermint è una società discografica che aveva svolto, attraverso una società informatica svizzera, un sistematico monitoraggio delle reti peer to peer (P2P, reti dette anche di file sharing). La Logistep, inoltre, aveva lavorato anche per conto della Techland, software house specializzata sullo sviluppo di videogiochi.
Tramite l’utilizzo di software specifici, le società avevano individuato un ingente numero di indirizzi IP relativi a utenti ritenuti dalle medesime società quali responsabili dello scambio illegale di file. Grazie a tali indirizzi erano risaliti ai nomi degli utenti, anche italiani, al fine di potere ottenere un risarcimento del danno.
Il Garante per la protezione dei dati personali ha però sostenuto che le società private non possono svolgere attività di monitoraggio sistematico per individuare gli utenti che si scambiano file musicali o giochi su Internet e, sul punto, ha altresì richiamato la decisione dell’omologa Autorità svizzera: anch’essa aveva ritenuto illecita l’attività svolta dalla Logistep.
Innanzitutto, ha ricordato il Garante, la direttiva europea sulle comunicazioni elettroniche vieta ai privati di poter effettuare monitoraggi, ossia trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti. Nel caso di specie, poi, è stato violato il principio di finalità: le reti P2P sono finalizzate allo scambio tra utenti di dati e file per scopi personali. L’utilizzo dei dati dell’utente può avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori quali quelli perseguiti dalle società Peppermint e Techland (cioè il monitoraggio e la ricerca di dati per la richiesta di un risarcimento del danno).
Infine, non sono stati rispettati i principi di trasparenza e correttezza, perché i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file.
Pertanto, in ottemperanza a quanto disposto dal provvedimento dell’Authority, le società che hanno effettuato il monitoraggio dovranno ora cancellare, entro il 31 marzo 2008, i dati personali degli utenti che hanno scambiato file musicali e giochi attraverso le reti di P2P.