Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Lo spam come illecito amministrativo, condotta civilmente rilevante e reato: il quadro normativo

Lo spam può non costituire reato a patto che venga prima ottenuto il consenso dell’interessato, altrimenti l’invio di messaggi non sollecitati si configura come un trattamento illecito di dati personali, una condotta sanzionabile alla luce del GDPR. Facciamo il punto per individuare i casi in cui fare spam risulta penalmente rilevante

27 Nov 2019
S

Annalisa Spedicato

Avvocato, Specializzato in IP, ICT e Privacy


Con la recente sentenza della Corte di Cassazione n. 41604/2019, i giudici di legittimità hanno chiarito che fare “spam” non costituisce reato, per lo meno in linea generale.

Questa pronuncia offre l’occasione per estendere l’analisi giuridica intorno ad una condotta su cui negli ultimi tempi molti riflettori sono stati puntati. Dopo un periodo di iniziale far west in cui indirizzi e-mail e numeri telefonici venivano comodamente reperiti, venduti, trasmessi, scambiati per fini commerciali all’insaputa dell’ignaro consumatore che si vedeva letteralmente bombardato da messaggi commerciali, si è giunti a decretare siffatto comportamento come vietato.

Ma dallo spam può derivare un danno risarcibile? E se, come dice la Cassazione, la condotta non costituisce di per sé reato, vi sono dei casi in cui fare spam può risultare penalmente rilevante?

Spam e marketing diretto: le regole del Garante

Ormai è noto che con il termine “spam” si intende l’invio di messaggi non sollecitati, ossia senza il consenso dell’interessato, finalizzati alla promozione, per la vendita diretta o con lo scopo di compiere ricerche di mercato.

Un fenomeno, a dire il vero, già contemplato dal Garante per la protezione dei dati personali in vigenza della vecchia legge n. 675/1996 (si rammenta che il Garante pubblicò nel 2003 le prime “Regole per un corretto uso dei sistemi automatizzati e l´invio di comunicazioni elettroniche”, basate sulla vecchia legge privacy, che si riferivano proprio allo “spam”), ma che negli ultimi anni, grazie all’uso sempre più frequente della posta elettronica e del commercio online, ha avuto una forte diffusione, complice il facile reperimento degli indirizzi email, la convenienza in termini di costi sostenuti dall’azienda mittente nel servirsi di questo nuovo strumento per fare marketing diretto e il più comodo raggiungimento in real time del target destinatario esatto.

Sebbene nello spam rientri, è opportuno ricordarlo, non solo l’invio di messaggi commerciali via email, ma anche mediante l’impiego di altri canali, quali l’inoltro di messaggi via telefax, di SMS ed MMS a numeri di cellulare e le chiamate telefoniche con sistemi automatizzati senza operatore (cosiddette telefonate preregistrate).

Il consenso dell’interessato come base giuridica

Posto che numeri telefonici e indirizzi email sono classificati come dato personale, in quanto consentono di identificare, seppure in maniera indiretta, la persona fisica a cui si riferiscono, con l’entrata in vigore del Regolamento UE n. 679/2016 (ma già anche prima con la direttiva 2002/58/CE, sul trattamento dei dati personali nel settore delle telecomunicazioni), in via generale, inviare messaggi promozionali, senza il consenso dell’interessato, costituisce un trattamento privo di una base giuridica valida e dunque illecito, salvo il caso in cui il mittente dei messaggi (titolare del trattamento) possa giovarsi di un proprio legittimo interesse, che sussiste ad esempio quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda.

In tal caso, il titolare del trattamento è esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, facile, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, rapportando agli stessi, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento, il proprio legittimo interesse.

Per non incappare nel trattamento illecito di dati personali mediante l’invio di pubblicità non richiesta, è bene dunque procurarsi prima il consenso dell’interessato, avendo cura di informarlo di ciò che prevede il trattamento dei dati (finalità, modalità del trattamento, destinatari dei dati e quant’altro prevede l’art. 13 del GDPR), tracciare il consenso per precostituirsi una prova, mediante sistemi cosiddetti opt-in e, più in generale, rispettare le linee guida formulate dal Garante per la protezione dei dati personali nel provvedimento del 2013 (Registro dei provvedimenti n. 330/2013) che si ritengono tuttora valide.

Le sanzioni per trattamento illecito di dati personali

Chi fa “spam”, inviando messaggi commerciali senza aver prima ottenuto il consenso dell’interessato, compie dunque un trattamento illecito di dati personali, una condotta sanzionabile a livello amministrativo in base all’art. 85 punto 5 del Regolamento UE n. 679/2016 che prevede per tale comportamento la sanzione più elevata, fino a 20 mila euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, trattandosi della violazione dei principi di base del trattamento, in particolare delle disposizioni sul consenso.

Siffatta condotta, pertanto, è certamente punibile come illecito amministrativo e chi ne è destinatario, presentando reclamo al Garante, può ottenere la cessazione della stessa.

Tuttavia, gli interessati vittime di spam possono ricorrere anche agli ordinari strumenti di tutela forniti dall’ordinamento, quindi, esperire presso l’autorità giudiziaria ordinaria i rimedi civilistici dell’azione inibitoria e/o dell’azione di risarcimento del danno ex art. 2050 c.c., considerando che l’attività di trattamento dei dati personali, oggi più di ieri, integra un’attività pericolosa.

Il danno da “spam”

Con riferimento all’azione per ottenere il risarcimento del danno, è bene, tuttavia, precisare che il pregiudizio non deve essere solo provato dall’interessato.

Per vedersi riconosciuto il risarcimento, infatti, l’interessato oltre alla prova del danno subìto, deve fornire l’ulteriore prova del fatto che lo stesso abbia superato la soglia minima di offensività, ossia che sia stato “grave” e “serio”.

Come, infatti, precisato in una recente pronuncia della Cassazione (Cass. Civ. Sez. I – n. 3311/2017) emanata nell’ambito di un caso che aveva ad oggetto proprio il trattamento illecito di dati personali[1], il danno non patrimoniale risarcibile […] pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco”.

Quando fare spam può integrare reato

Se poi nella condotta ricorrono gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, come novellato dal D.lgs. n. 101/2018, il trattamento illecito di dati personali effettuato mediante spam può essere altresì qualificabile come reato e, in tal caso, sporgendo denuncia, si può attivare un procedimento penale che può portare anche alla reclusione del soggetto che ha inoltrato il messaggio.

Attenzione però, perché la fattispecie descritta all’art. 167, rapportata allo spam non si realizza in generale in tutti i casi in cui l’agente invia messaggi di natura commerciale non richiesti.

Integrando un delitto a dolo specifico, essa, infatti, richiede necessariamente che il fine dell’agente sia quello di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento. Non solo.

Altro elemento costitutivo della fattispecie (come del resto sottolineato recentemente anche dalla Cassazione n. 41604/2019) è il nocumento all’interessato, trattandosi di reato di pericolo concreto e non presunto.

Ciò significa che, se non si verifica un pregiudizio a carico del soggetto cui si riferiscono i dati protetti oppure di terzi quale conseguenza dell’illecito trattamento, lo spam non integra un trattamento illecito di dati personali da un punto di vista penale, in quanto la fattispecie di cui all’art. 167 del Codice Privacy non si configura, mancando uno degli elementi costitutivi.

La recente pronuncia della Cassazione n. 41604 offre, sia pure indirettamente, degli utili indicatori per comprendere quando lo spam può integrare il reato di trattamento illecito di dati personali, ai sensi dell’art. 167 del Codice Privacy ed essere quindi, la condotta che vi soggiace, penalmente perseguibile:

  1. quantità di messaggi inviati ad uno stesso soggetto da uno stesso mittente;
  2. insistenza nell’invio di messaggi anche a seguito dell’esercizio del diritto di opposizione;
  3. contestazione espressa del comportamento da parte dell’interessato con reiterata inerzia del titolare;
  4. danno sofferto dall’interessato.

Il danno o meglio nella sua accezione più estesa, il nocumento come recita la disposizione del Codice, può essere di qualsiasi natura, patrimoniale o non patrimoniale, sebbene debba trattarsi comunque di un “pregiudizio giuridicamente apprezzabile” che va accertato caso per caso.

Così, se non può certamente procurare nocumento in tal senso la seccatura di dover cancellare qualche email episodicamente ricevuta e inoltrata da uno stesso mittente (come stabilito dalla Cassazione), diverso è il caso in cui tali email vengono inviate, in maniera reiterata e insopportabile, nonostante si sia esercitato correttamente il diritto di opposizione al trattamento dei dati personali per fini di marketing, poiché ciò vale a creare un reale disagio all’interessato che si traduce nel nocumento richiesto dalla norma.

È ovvio che, da questo punto di vista assume rilevanza anche il mezzo scelto dall’agente per effettuare gli invii dei messaggi, così ad esempio, inoltrare chiamate telefoniche preregistrate ad uno stesso soggetto senza che questi abbia manifestato mai un consenso, potrebbe più facilmente integrare il reato di trattamento illecito di dati personali rispetto all’invio di email effettuato nella stessa misura, dato che il disagio che un soggetto prova nel dover rispondere a qualche chiamata indesiderata in più, può risultare in determinate circostanze, un pregiudizio apprezzabile giuridicamente rispetto alla mera cancellazione di qualche email in più.

Conclusioni

Se lo spam certamente rientra nella fattispecie giuridica del trattamento illecito di dati personali sia da un punto di vista amministrativo che civilistico, avverso la quale condotta è possibile esperire reclamo davanti al Garante per ottenere un provvedimento inibitorio e di conseguenza una sanzione amministrativa a carico del mittente dei messaggi nel suo ruolo di titolare del trattamento o anche azioni civili tese a far cessare il comportamento e, nel caso in cui sia accertato e provato un danno meritevole di ristoro accordare anche un risarcimento.

Perché lo stesso sfoci nel trattamento illecito di dati personali di natura penale e sia quindi qualificabile come reato, occorre che il titolare abbia agito con dolo e abbia arrecato un concreto disagio all’interessato, essendo necessaria in tal senso la presenza del nocumento come elemento costitutivo del reato o condizione obiettiva di punibilità.

Da tali considerazioni si evince che in generale lo spam risulta in ogni caso una condotta sanzionabile a livello amministrativo e civilistico, per far cessare la quale si può sempre agire; per appurare se sia ammissibile richiedere un risarcimento del danno o farla ricadere in ambito penale, occorre una puntuale analisi del caso concreto.

NOTE

  1. Sebbene il caso si riferisse ad un periodo in cui era ancora in vigore il vecchio Codice Privacy che all’art. 15 prevedeva espressamente il risarcimento del danno ex art. 2050 c.c., la pronuncia può ritenersi ancora pregevole di considerazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5