Per il reato di trattamento illecito dei dati con spam il nocumento è da valutare in relazione al singolo utente
Massima Giurisprudenziale
Ai fini del reato di trattamento illecito di dati previsto dall’art. 167 del Decreto Legislativo 30 giugno 2003, n. 196, la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente, dovendosi avere riguardo non al numero complessivo di messaggi inviati, ma all’entità dei messaggi spediti a ogni singolo destinatario.
Decisione: Sentenza n. 41604/2019 Cassazione Penale – Sezione 3
Classificazione: Penale, Privacy
Massima:
Ai fini del reato di trattamento illecito di dati previsto dall’art. 167 del Decreto Legislativo 30 giugno 2003, n. 196 a seguito di invio di comunicazioni indesiderate (cd. “spam”), la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente, dovendosi avere riguardo non al numero complessivo di messaggi inviati, ma all’entità dei messaggi spediti a ogni singolo destinatario.
La nozione di nocumento va agganciata a quella di offensività, qualificando la fattispecie in termini di reato di pericolo concreto e non presunto, dovendosi solo ribadire, che, nell’attuale sistema informativo e commerciale, “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi.
Osservazioni.
Il caso esaminato dal Collegio riguardava l’invio di comunicazioni indesiderate (cd. “spam”) a mezzo posta elettronica.
L’imputato proponeva ricorso avverso la sentenza in grado di appello, che aveva confermato la condanna in primo grado per il reato di cui all’art. 167 del D. Lgs. 196/2003.
L’invio delle comunicazioni non desiderate era finalizzati a publiccizzare corsi di aggiornamento agli iscritti di un’associazione.
La Suprema Corte, nel decidere la questione, ha chiarito ulteriormente quanto già affermato da una precedente decisione, che aveva precisato che «Integra il reato di trattamento illecito di dati personali l’indebito utilizzo di un “data-base” contenente l’elenco di utenti iscritti a una “newsletter” ai quali venivano inviati messaggi pubblicitari non autorizzati provenienti da altro operatore, che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l’immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la “privacy” dalla circolazione non autorizzata delle informazioni personali».
Nel caso specifico, «nessun destinatario delle e-mails aveva manifestato all’avv. Ruggi la sua opposizione a ricevere i suoi messaggi promozionali, il cui invio peraltro è avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta, dovendosi avere riguardo in tal senso non al numero complessivo di messaggi inviati a tutti gli iscritti all’associazione, ma all’entità dei messaggi spediti a ogni singolo associato, posto che la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte».
Nel campo della privacy, il D. Lgs. 101/2018, in vigore dal 19/09/2018, elimina la collisione normativa tra il Regolamento UE 2016/679 (GDPR) e il codice in materia di protezione dei dati personali (D. Lgs. 196/2003), abrogando diversi articoli di quest’ultimo.
Sono quindi attualmente vigenti sia il Regolamento UE (GDPR) e sia le disposizioni nazionali non abrogate.
Il comma 6 dell’art. 22 del D.Lgs. 101/2018 ha disposto che: «Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili».
Giurisprudenza rilevante.
Cass. 23798/2012
Disposizioni rilevanti.
DECRETO LEGISLATIVO 30 giugno 2003, n. 196
Codice in materia di protezione dei dati personali , recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016
Art. 130 – Comunicazioni indesiderate
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 6 e 7 del Regolamento nonché ai sensi di quanto previsto dal comma 3-bis ….
3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui al comma 1 del predetto articolo, mediante l’impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui al comma 1 del predetto articolo, in un registro pubblico delle opposizioni. (20)
3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e principi generali:
a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;
b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici di cui al decreto legislativo 18 aprile 2016, n. 50. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento del dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
f)obbligo per i soggetti che effettuano trattamenti di dati per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 6 e 7 del Regolamento.
3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante.
4. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. E’ vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui agli articoli da 15 a 22 del Regolamento, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell’articolo 58 del Regolamento, altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
CAPO II ILLECITI PENALI
Art. 167 – Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato.
4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.