18 Ott Un social network non può impedire l’utilizzo e negare ai propri competitor l’accesso ai dati pubblici degli utenti a fini commerciali (Trib. Distrettuale della California del Nord, Sent. HIQ LABS INC. v. LINKEDIN CORPORATION, case no. 17-cv-03301-EMC)
Il 14 agosto 2017 il tribunale distrettuale della California del Nord ha rilasciato un “temporary restraining order” a favore della HIQ LABS INC (di seguito anche solo “hiQ”), con il quale ha imposto alla LINKEDIN CORPORATION (di seguito anche solo “LinkedIn”) di rimuovere tutte le misure tecnologiche atte a bloccare e prevenire l’accesso, la raccolta e l’uso dei dati pubblici degli utenti presenti sul social network “LinkedIn”…
La questione prende avvio da una lettera inviata dalla LinkedIn il 23 maggio 2017, con la quale intimava alla hiQ di cessare ogni attività di raccolta e utilizzo di dati e informazioni che gli utenti immettono nel social network citato, poiché, a parere della stessa, tale attività eccedeva i termini e le condizioni del “LinkedIn’s User Agreement”; inoltre, la società intimava alla hiQ che eventuali e ulteriori estrapolazioni di dati degli utenti sarebbero stati considerati alla stregua di un “accesso non autorizzato” ai sensi del California Penal Code §502(c) e del Federal Computer Fraud and Abuse Act (CFAA).
Allo stesso tempo la LinkedIn, al fine di bloccare gli eventuali e ulteriori accessi della hiQ ai dati dei suoi utenti, predisponeva una serie di presidi informatici e barriere tecnologiche.
A fronte dell’impossibilità di giungere a una pacifica definizione della controversia, hiQ ricorreva dinnanzi alla Corte distrettuale della California del Nord, affinché questa riconoscesse il diritto della stessa ad accedere ai dati pubblici degli utenti caricati e accessibili tramite il social network “LinkedIn”.
Facendo riferimento al caso trattato dalla Corte, è opportuno preliminarmente rilevare che LinkedIn è una piattaforma incentrata sulla creazione di un network per i professionisti e per le imprese; i suoi utenti potranno inserire all’interno della stessa alcuni dati relativi alle proprie abilità e/o esperienze lavorative e potranno scegliere se le informazioni ivi inserite possano essere pubbliche, ossia essere liberamente accessibili, o private. Per contro, l’attività di hiQ consiste nel vendere informazioni relative alle capacità, posizioni e scelte dei dipendenti dei suoi clienti, dati che sono estrapolati, aggregati e analizzati attraverso un sistema automatizzato di data-crunching[1] dei dati pubblici immessi dagli utenti all’interno del social network.[2]
A parere della LinkedIn, l’utilizzazione dei dati degli utenti comporterebbe una violazione non solo dei termini di utilizzo del social network, ma anche una violazione delle norme poste a tutela della sicurezza e della riservatezza dei dati immessi e custoditi all’interno di un sistema informatico, pertanto l’accesso di hiQ ai dati suddetti violerebbe le disposizioni contenute all’interno della CFAA.[3]
Dal canto suo, hiQ rileva come il comportamento assunto da LinkedIn determinerebbe una violazione delle leggi in materia di concorrenza poiché la società convenuta starebbe cercando di bloccare l’attività di hiQ per poter poi svolgere in autonomo la stessa attività, ottenendo così una posizione di predominio sui dati pubblici immessi all’interno della piattaforma. Oltretutto, sempre a parere della ricorrente, il comportamento dalla stessa assunto non sarebbe in alcun modo qualificabile quale “accesso non autorizzato”, poiché i dati utilizzati da hiQ sono dati pubblici, liberamente accessibili e non protetti da alcun sistema di autenticazione e/o di protezione informatica che permetta di qualificare il sistema in questione come “chiuso”.
Alla luce dei rilievi di cui sopra, la questione di cui il tribunale è stato sostanzialmente investito attiene alla possibilità da parte di un soggetto (nella specie hiQ) di accedere a dati pubblici immessi in rete da parte degli utenti senza l’autorizzazione a tale accesso automatizzato da parte del titolare del sistema in cui i dati sono stati caricati.
Sul punto, all’interno della motivazione del tribunale si legge che “the Web is inherently perceived open, in that it allows anyone in the world to publish information that can be accessed by anyone else without requiring authentication, courts should incorporate this norm by adopt[ing] presumptively open norms for the web”. Pertanto, secondo il tribunale, i principi sottesi alla rete e, in particolar modo, ai social network, presuppongono, in linea di principio, una libera accessibilità delle informazioni ivi immesse e pubblicamente accessibili.
Alla luce di tali rilievi, il tribunale, in accoglimento della domanda proprosta da hiQ, afferma che “a user does not access a computer without authorization by using bots[4], even in the face of technical countermeasures, when the data it accesses is otherwise open to the public. Thus, […] HIQ’s circumvention of LinkedIn’s measures to prevent use of bots and implementation of IP address blocks does not violate the CFAA because HIQ accessed only publicly viewable data not protected by an authentication gateway”.
In breve, dalle motivazioni della sentenza emerge che, stante la mancanza di alcuna autorizzazione per accedere alle pagine di profilo pubblico degli utenti registrati su LinkedIn, la raccolta e l’elaborazione dei dati di questi ultimi non costituisce un “accesso non autorizzato” e, pertanto, la raccolta dei dati dei profili pubblici non potrà essere limitata e/o impedita, ai sensi della legge federale e della legge dello Stato della California, da presidi e/ contromisure che impediscano l’estrapolazione e l’accesso ai dati pubblici degli utenti registrati sulla piattaforma.
In conclusione, con il provvedimento in esame, il tribunale distrettuale della California del Nord, rilevata la presenza di un grave pregiudizio nei confronti di hiQ e in accoglimento della domanda della stessa, intima alla LinkedIn di rimuovere entro 24 ore le barriere messe in atto per impedire alla prima di accedere ai profili pubblici degli utenti del social network.
[1] Per “data-crunching” si intende l’analisi di grandi quantità di dati per mezzo di un algoritmo o di un sistema informatico; ad esempio il sistema utilizzato da hiQ permette di analizzare i comportamenti lavorativi dei dipendenti principalmente attraverso i dati immessi in rete dagli utenti di LinkedIn.
[2] Come rileva lo stesso tribunale distrettuale, hiQ offre ai suoi clienti principalmente due tipi di servizio: i) Keeper, il quale indica alle imprese quali sono i lavoratori maggiormente a rischio di essere reclutati altrove; e ii) Skill Mapper il quale raccoglie ed elenca le abilità e le competenze dei singoli lavoratori.
[3] La CFAA punisce chiunque “intenzionalmente accede a un computer senza alcuna autorizzazione o travalica l’autorizzazione concessagli oppure ottiene informazioni da un sistema informatico oltrepassando i relativi sistemi di protezione”. Alla luce della lettura della Suprema Corte Federeale, sono sostanzialmente due i modi tramite cui l’accesso a un sistema informatico può determinare l’irrogazione di una delle sanzioni previste dalla CFAA, ossia: i) accesso a un sistema informatico senza l’autorizzazione del suo titolare; ii) accesso improprio di un sistema informatico, il quale si verifica in tutti quei casi in cui un determinato soggetto ha l’autorizzazione per accedere a un dato sistema informatico, ma travalica i limiti imposti dal titolare del sistema.
[4] Nel caso di specie il termine fa riferimento ai sistemi di data-crunching.
Sent_hiQ_vs_LinkedIn