Spamming: cosa cambia dopo la riforma sul GDPR?

0
spamming

Perché il c.d. spamming assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate

Lo ha affermato la Terza Sezione Penale della Cassazione in una recente pronuncia in cui ha assolto l’imputato dal reato di cui all’art. 167 Codice della Privacy, per aver inviato diverse email pubblicitarie agli iscritti di una associazione, senza il loro consenso (c.d. spamming).

La vicenda

In primo grado l’imputato era stato ritenuto colpevole del reato di cui all’art. 167 in relazione all’art. 130 del D.lgs. n. 196/2003 a lui contestato, per aver proceduto al trattamento illecito dei dati personali degli iscritti di una associazione, cui aveva reiteratamente inviato numerose email al fine di pubblicizzare propri corsi di aggiornamento nel settore dell’igiene dentale.

In tal modo, l’imputato si sarebbe procurato il vantaggio di ottenere la partecipazione a corsi e convegni da lui patrocinati o organizzati e nello stesso tempo, avrebbe procurato agli associati un nocumento, consistente nella necessità di controllare e vagliare le numerose email inviate senza il loro consenso.

Per tali fatti, la corte d’appello di Torino, aveva confermato la condanna a sei mesi di reclusione, condizionalmente sospesa.

La vicenda è giunta poi in Cassazione in seguito al ricorso formulato dal difensore dell’imputato.

Ebbene la Terza Sezione Penale della Cassazione (sentenza n. 41604/2019) ha accolto il ricorso ritenendo, a differenza di quanto sostenuto dai giudici di merito, che il comportamento del ricorrente fosse insuscettibile di essere inquadrato nella fattispecie di cui all’art. 167 d.lg. n. 196/2003.

Invero, al momento dei fatti, la norma incriminatrice (rubricata “trattamento illecito di dati personali”) era così formulata: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se’ o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

La recente riforma (d.lgs. n. 101/2018)

La norma è stata di recente riformata dal d.lgs. n. 101 del 10 agosto 2018 (art. 15 comma 1 lett. b), che tuttavia – hanno chiarito gli Ermellini – non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto invariato l’elemento soggettivo del reato, costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento.

Il reato si connota come un delitto a dolo specifico la cui struttura è compatibile con la forma del dolo eventuale, che postula l’accettazione solo in via ipotetica, eppure avverabile del conseguimento di un determinato risultato.

Parimenti, immutato è rimasto il richiamo alla necessità del verificarsi di un “nocumento”, che nella versione attuale si configura come elemento costitutivo della fattispecie penale; nella specie, per nocumento deve intendersi un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento.

La nozione di nocumento penalmente rilevante

In altre parole, la nozione di nocumento evoca l’esistenza di una concreta lesione della sfera personale o patrimoniale che, nell’ottica della fattispecie esaminata, i giudici della Suprema Corte hanno escluso.

Pur convenendo, infatti, sulla illegittimità del trattamento, stante la violazione dell’art. 130 del d.lgs. n. 196/2003, disposizione dedicata alle “comunicazioni indesiderate” che subordina al consenso dell’utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate tra l’altro anche mediante posta elettronica, nel caso in esame, ciascun igienista dentale iscritto all’associazione, aveva ricevuto dal ricorrente un numero contenuto di messaggi, in media non più di tre o quattro, per cui non poteva affatto parlarsi di una significativa invasione del proprio spazio informatico.

In buona sostanza, hanno affermato i giudici della Suprema Corte “non c’è dubbio che nell’attuale contesto socio-economico, è molto diffusa la pratica del c.d. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro, ma affinché, tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nella generica lamentela o nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato.

La decisione

A tal fine, il giudice di merito deve operare un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale ad inviare messaggi indesiderati, creando così un reale disagio al destinatario.

Ora, nel caso in esame, nessun destinatario delle email aveva manifestato all’agente la sua opposizione a ricevere i messaggi promozionali, il cui invio era peraltro avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta.

Al riguardo, la Corte di Cassazione ha preso in considerazione non il numero complessivo di messaggi inviati a tutti gli iscritti della associazione, ma all’entità dei messaggi spediti a ogni singolo associato, chiarendo che la valutazione del nocumento deve essere riferita alla dimensione individuale dell’utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte.

In quest’ottica è stato escluso che la ricezione di tre o quattro mail nell’arco di cinque mesi, senza alcuna preventiva diffida rivolta al mittente, potesse integrare quel “nocumento”, elemento costitutivo della fattispecie contestata.

Avv. Sabrina Caporale

Leggi anche:

PRIVACY: L’ADEGUAMENTO DELLA NORMATIVA PENALE ALLE ULTIME NOVITA’ LEGISLATIVE

- Annuncio pubblicitario -

LASCIA UN COMMENTO O RACCONTACI LA TUA STORIA

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui