Spamming: inviare newsletter pubblicitarie non richieste costituisce reato
Con la sentenza n. 23798/2012, la Corte di Cassazione ha affrontato il caso dell’invio da parte di una società di newsletter pubblicitarie non richieste, stabilendo chetale condotta configura il reato di trattamento illecito di dati personali di cui all’art. 167 del Codice della privacy, e chiarendo in particolare cosa debba intendersi per “nocumento” ai fini della disposizione citata.
« […] In altri termini, si può dire che, ai fini della disposizione dell’art. 167 in esame, il richiamo al nocumento, evoca ed istituzionalizza il principio di offensività.
Il concetto, del resto, è stato già espresso da questa stessa S.C. (sez. 3^, 28.5.04, Barone, rv. 229472) con decisione che, molto opportunamente, il giudice di primo grado ricorda (f. 8).
In quel caso, infatti, si era sostenuto che la tipizzazione del “nocumento” comportava la non punibilità di violazione alla tutela dei dati personali colà contestata perchè aveva prodotto “un vulnus minimo all’identità personale del soggetto passivo ed alla sua privacy”. In quella decisione, si soggiungeva come ulteriore connotazione del vulnus, che esso dovesse essere tale da determinare un danno patrimoniale apprezzabile ma, a ben vedere, si tratta di puntualizzazione eccessivamente restrittiva e dissonante con il concetto – pacifico – che il danno (ed, a fortori, il nocumento) possa essere anche diverso da quello patrimoniale.
Ciè è tanto vero che, in altra recente pronuncia (sez. 3^, 17.2.11, 1^, rv. 249991), questa S.C. ha ravvisato la tutelabilità degli interessi, sicuramente non strettamente economici, dei familiari di una persona, deceduta, la cui immagine in stato morente era stata illecitamente diffusa.
A tale stregua, considerata la molteplicità di forme di manifestazione del “nocumento” che può conseguire ad un illecito trattamento dei dati personali, sembra possibile concludere che, con l’inserimento della condizione obiettiva di punibilità di cui trattasi, il legislatore abbia inteso, in qualche modo, arretrare la soglia dell’intervento penale anche alla semplice esposizione al pericolo di una lesione dell’unico bene protetto dal D.Lgs. n. 196 del 1993 (vale a dire il diritto dell’interessato al controllo sulla circolazione delle sue informazioni personali) formulando la norma come se si fosse al cospetto di un reato di pericolo concreto con dolo di danno.
In altri termini, il reato è perfetto quando la condotta si sostanzia in un trattamento dei dati personali, in violazione di precise disposizioni di legge, effettuato con il fine precipuo di trame un profitto per sè o per altri o di recare ad altri un danno ma la sua punibilità discende dalla ricorrenza di un effettivo “nocumento” (nel senso, cioè, che il profitto conseguito o il danno causato siano apprezzabili sotto più punti di vista).
Si è, in altri termini, al cospetto di un reato di pericolo effettivo e non meramente presunto (così come detto da questa S.C. anche in tema di rivelazione di segreti d’ufficio – S.U. 27.10.11, Casani, rv. 251271) con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sè e per sè, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell’interessato e/o al suo patrimonio.
Ciò vuoi dire che, per un verso, rimane tutelato l’imputato perchè l’oggettiva inidoneità della condotta a ledere il bene giuridico protetto lo salvaguarda anche nel caso in cui la sua azione sia stata animata da un chiaro intento di profitto, al contempo, però, garantisce la persona offesa con un raggio di azione più ampio, viste e considerate le peculiarità della fattispecie di cui si sta trattando.
Come bene ricorda il giudice di primo grado (f. 8), il nocumento che consegue all’illecito trattamento di dati personali è di vario genere “non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”.
Ma la condotta descritte nell’art. 167 può causare un nocumento anche maggiore e più subdolo, vale a dire la esposizione al pericolo dell’interesse tutelato stante il rischio di finire nelle c.d. blacklist.
[…] Esattamente i ricorrenti ricordano quelle pronunzie di questa S.C. (f. 12 ric.) nelle quali si afferma che la violazione della normativa sulla tutela dei dati personali comporta una sanzione solo quando abbia prodotto un vulnus significativo alla persona offesa” ma, a maggior ragione, cadono in errore quando concludono che esso nella specie non si sarebbe verificato solo perchè le persone sentite sul punto hanno escluso di aver ricevuto un fastidio di qualsivoglia natura dalla percezione di mails della […] da essi non previamente assentite.
[…] Il rischio, del resto, è in agguato visto che gli operatori del settore telematico mostrano sempre più spesso la tendenza a ribaltare i piani delle responsabilità.
Ciè è emblematico, ad esempio, nell’utilizzo – anche da parte degli odierni ricorrenti – dell’argomento rappresentato dalle c.d.mail “wellcome”, vale a dire, quelle missive telematiche, senza alcun contenuto pubblicitario nelle quali sono spiegate all’utente le modalità di utilizzo del pannello di controllo per la gestione delle proprie iscrizioni o cancellazioni e viene preannunciato l’invio periodico di informazioni pubblicitarie.
Si tratta, all’evidenza, di argomento suggestivo e fuorviante perchè finisce per trasferire sull’utente – destinatario della mail indesiderata – l’onere di precisare (con procedure che, magari a chi non è tanto esperto possono anche risultare complicate) che non intende più ricevere altre mails da quel mittente.
Il vero è che la ed mail di wellcome ha un senso solo se rivolta a chi abbia già dato il proprio assenso a ricevere corrispondenza da quel certo mittente e non deve rappresentare l’abile escamotage per chi – come nel caso della […] – si rivolga a soggetti dei cui dati si era impossessata abusivamente.
E’ stato accertato che, nella specie, la newsletter (OMISSIS) della […], veniva inviata ai destinatari individuati estrapolandoli dalla lista (OMISSIS), senza averne ottenuto il previo assenso ma semplicemente dando loro la possibilità di chiedere la cancellazione dalla lista stessa.
All’evidenza, però, il problema non deve ricadere su chi riceve la newsletter indesiderata (che, se non gradisce, si vede costretto a cancellarsi) ma solo su chi invia la mail (che ha il dovere di accertarsi previamente della disponibilità del destinatario a riceverla acquisendone, come prescritto dalla norma, il consenso).
[…] D’altro canto, deve ribadirsi, questo appare essere l’unico modo di interpretare la disposizione in esame (segnatamente il dato del “nocumento”) se si vuole dare effettività alla tutela che la norma intende apprestare specie per coloro che decidano di inserire i propri dati personali in un circuito, come quello telematico, nel quale il rischio della diffusione indiscriminata ed abusiva (altrimenti detto “spamming”) è costantemente in agguato […] ».
