Si può denunciare lo spam?
La tutela dei dati personali nel settore delle comunicazioni elettroniche: dal Codice privacy (D.Lgs. 196/2003) al Regolamento UE 2016/679 (GDPR).
Hai bisogno di un avvocato penalista ? Tramite il servizio di AvvocatoFlash, attivo in tutta Italia, potrai trovare un buon avvocato penalista in breve tempo.
- Cosa si intende con il termine spam?
- Reato di spamming
Il sistema sanzionatorio alla luce del nuovo codice privacy
Le violazioni amministrative
Le violazioni penali - La Polizia Postale come primo presidio contro l'attività di spamming
Quali altri forme di tutela possono essere attivate in caso si subisca lo spam? - Fonti normative
1. Cosa si intende con il termine spam?
Con il termine spamming o spam si intende l'invio ripetuto e massivo di comunicazioni non richieste attraverso strumenti di messaggistica elettronica (e-mail. sms, mms, sistemi di messaggistica per smartphone e tablet).
Nella maggior parte dei casi lo spamming si realizza attraverso l'invio indiscriminato di messaggi di posta elettronica e/o newsletter di natura pubblicitaria e commerciale in assenza del preventivo consenso da parte del destinatario delle comunicazioni.
In concreto la casella di posta elettronica della vittima di spam viene sommersa da comunicazioni pubblicitarie che, in alcuni casi, possono arrivare a mettere a rischio il funzionamento stesso della casella di posta elettronica.
A questo si aggiunga che spesso le nuove pratiche di digital marketing, ad esempio l'attività di spamming attraverso i social network (c.d. social spam), associano ad una facile accesso ai dati personali degli utenti l'utilizzo di comportamenti promozionali aggressivi e fortemente invasivi della sfera personale degli interessati.
Nell'ordinamento italiano l'attività di spamming, ovvero l'invio di comunicazioni pubblicitarie senza il consenso preventivo ed informato del destinatario, è vietato dalla legge e come tale è soggetta a sanzioni sia amministrative che penali andando, infatti, anche ad integrare, nei casi più gravi di violazione, una fattispecie di reato.
2. Reato di spamming
Come detto l'invio di comunicazioni commerciali senza il consenso del destinatario è vietato dalla legge ed il destinatario dispone di strumenti di tutela amministrativa e giurisdizionale con cui far valere il proprio diritto alla tutela dei dati personali.
Se detta attività di spamming però viene effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all'autorità giudiziaria integrando una fattispecie di reato.
Il quadro normativo di riferimento è stato oggetto, da ultimo, di una profonda evoluzione legislativa che ha investito la materia della privacy nel suo complesso a seguito dell'emanazione del Regolamento Europeo sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) recepito formalmente nell'ordinamento italiano grazie al D.Lgs. 101/2018 (c.d. decreto privacy).
Fino all'emanazione di detto Regolamento Europeo la materia della tutela del trattamento dei dati personali, così come il reato di spamming, era regolata dal D.Lgs. 196/2003 c.d. Codice della privacy che ad oggi, se pur profondamente emendato dagli articoli del GDPR, rimane in vigore nella legislazione italiana grazie al citato decreto 101/2018.
Nello specifico l'art. 167 Nuovo Codice Privacy è stato riformulato in modo da continuare a punire penalmente, fra le altre condotte, anche quella del soggetto che invii comunicazioni indesiderate (c.d. spam).
Secondo il dettato normativo si integra la fattispecie di reato, da cui l'applicazione di sanzioni penali, quando l'attività di trattamento dei dati personali in violazione di quanto disposto dalla legge avviene al fine “di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato” (comma 1, art. 167 Nuovo Codice Privacy).
Si tratta quindi di un dolo consistente nella rappresentazione del fine che l’agente intende raggiungere attraverso la propria condotta, a cui non deve necessariamente seguire la sua realizzazione. È invece richiesto che dal fatto derivi un effettivo nocumento per il soggetto vittima di spamming
E' importante rilevare che le condotte di cui all’articolo 167 sono punite non solo quando sorrette da una volontà di trarre profitto ma anche ove sussista una volontà di arrecare un danno ad altri. Evidente in questo caso la volontà del legislatore di garantire una tutela forte contro gravi fenomeni criminogeni quali il “revenge porn”.
L'interpretazione giurisprudenziale della normativa previgente era comunque già volta a rendere possibile un'ampia tutela della privacy dei singoli contro attacchi indiscriminati come lo spamming. I termini utilizzati dal legislatore nella costruzione della fattispecie di reato hanno ricevuto infatti nel corso degli anni una interpretazione di tipo estensivo da parte della giurisprudenza di legittimità.
Nel considerare la tipicità del reato previsto all’art. 167 la giurisprudenza ha infatti valutato gli elementi di cui si compone la fattispecie attraverso una dimensione concettuale aperta ed ampia.
Secondo i giudici di legittimità le finalità di “profitto” o di “danno” che chi commette il reato di spamming intende raggiungere con la propria condotta criminosa, non limitano la loro dimensione al significato patrimoniale (nella prima ipotesi) ovvero giuridico o economico (nella seconda).
Lo stesso dicasi in relazione all’evento “nocumento” che deve essere arrecato al soggetto vittima di spamming, concetto che parimenti ha ricevuto da parte della giurisprudenza di legittimità una interpretazione estensiva.
In tal senso, è stato evidenziato come il nocumento non dev’essere identificato col danno ma deve essere piuttosto inteso come un pregiudizio che incide sulla sfera tanto patrimoniale che non patrimoniale del soggetto che lo subisce, ovvero "il nocumento che consegue all'illecito trattamento di dati personali è di vario genere non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii".
Come visto nella pronuncia appena citata la Suprema Corte rivela un’evidente sensibilità all’esperienza concreta dei cd. Internauti vittime di spamming considerando come rappresenti una effettiva perdita di tempo l’attività necessaria a controllare e-mail di nessun interesse per poi cestinarle o, comunque, a espletare le procedure per evitare le successive comunicazioni dello stesso tipo.
I Giudici descrivono infatti il fenomeno pregiudizievole in termini di "[...] fastidio per la necessità di cancellare la posta indesiderata", nonché di "messa in pericolo della privacy, attesa la circolazione non autorizzata di dati personali (diversamente “catturabili” per scopi illeciti)", interpretando quindi il nocumento come contestuale perdita di tempo e esposizione al pericolo della propria privacy (ad esempio il rischio, evidenziato anch'esso in sentenza, di finire all'interno di una black list).
Pertanto secondo l'ampia interpretazione giurisprudenziale il pregiudizio proprio del nocumento da spamming può interessare, stante l'evidenziata varietà di manifestazioni, la persona in quanto tale oppure il suo patrimonio.
Un tale allargamento della tutela penale trova chiara giustificazione nella natura del bene giuridico tutelato dal Codice della Privacy e dal fatto che esso afferisca ad un diritto della personalità che, come tale, richiede la massima attenzione da parte del giudice, anche in termini di repressione preventiva di illeciti penali.
2.1 Il sistema sanzionatorio alla luce del nuovo codice privacy
Pertanto, nell’ipotesi in cui il trattamento dei dati personali senza consenso venga realizzato al fine di trarne un profitto, il trasgressore andrà incontro alle sanzioni penali previste dal Nuovo Codice Privacy. In assenza di tale specifica finalità le violazioni sono sottoposte a sanzione amministrativa.
Rispetto al quadro normativo previgente il Nuovo Codice della Privacy prevede e un impianto sanzionatorio più rigido soprattutto per quanto attiene l'ammontare delle previste sanzioni amministrative. Per quanto attiene le responsabilità penali si è deciso di mantenere in vita le sanzioni penali previste per le violazioni più gravi richiamate dal previgente articolo 167 ampliando però le ipotesi di illecito sanzionabili:
- il trattamento illecito dei dati; la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; • l'acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; • la falsità nelle dichiarazioni al garante; • l'interruzione dell'esecuzione di compiti e poteri del garante; • l'inosservanza dei provvedimenti del garante.
In presenza di una violazione le possibili conseguenze previste dalla nuova normativa sono:
- l'autorità di controllo, individuata nel Garante per la protezione dei dati personali, può imporre al titolare del trattamento dei dati delle misure procedurali o tecniche correttive da attuarsi nell'immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
- se la violazione determina dei danni nei confronti degli interessati, il titolare del trattamento dei dati, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni materiali e morali subiti dal proprietario dei dati stessi;
- la violazione può portare all'applicazione di sanzioni amministrative da parte dell'autorità di controllo;
- la violazione può portare all'applicazione di eventuali sanzioni penali.
2.2 Le violazioni amministrative
Le violazioni previste dal GDPR e richiamate dall’articolo 166 del Nuovo Codice Privacy sono quelle di natura amministrativa.
Al primo e al secondo comma la norma specifica quale tra le due tipologie di sanzioni previste dall’art.83 del GDPR risulta applicabile alle singole violazioni delle norme del Codice stesso, dal comma tre al comma dieci vengono descritte le procedure per l'adozione dei provvedimenti sanzionatori e di correzione da parte del Garante per la protezione dei dati individuato quale autorità competente in tal senso.
A questo proposito, l’art. 83, paragrafo 2 del GDPR elenca i criteri che il Garante dovrà considerare al momento di infliggere una sanzione pecuniaria per stabilire in concreto il tipo di sanzione da applicare e l'eventuale importo della stessa, in modo da risultare adeguata e deterrente rispetto al contesto in cui la violazione è stata realizzata.
Ciò significa che l’importo della sanzione da comminare nel caso specifico dovrà essere determinato dal Garante sulla base delle circostanze che emergono nel caso concreto e non, quindi, in astratto e a priori.
Nello stabilire l'effettivo ammontare della sanzione si dovrà pertanto tenere in considerazione:
- la natura, la gravità (ad es. Più violazioni in un singolo contesto) e la durata della violazione (ad es. quindi se il titolare si è attivato tempestivamente) considerando la natura, l’oggetto o a finalità del trattamento effettuato nonché il numero di interessati lesi dal danno e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l'autorità può procedere con un semplice avvertimento);
- il carattere doloso o colposo della violazione (ad es. una violazione intenzionale verrà considerata più grave); - se la violazione ha portato un profitto al titolare;
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento in considerazione delle misure tecniche ed organizzative dagli stessi messe in atto;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- le categorie di dati personali interessate dalla violazione (ad es. se la violazione riguarda il trattamento di dati personali sensibili o se possa comunque causare immediati danni o disagi agli interessati);
- il modo in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione (ad es. In assenza di notificazione della violazione l'autorità di controllo potrebbe comminare una sanzione più grave);
- in presenza di precedenti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione, relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- l’adesione ai codici di condotta o ai meccanismi di certificazione.
Nel caso in cui le violazioni commesse attengano i principi di base del trattamento, comprese le condizioni relative al consenso, quindi anche le ipotesi di spamming, il GDPR prevede sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
In ogni caso le sanzioni, decisamente più rigide rispetto alla normativa previgente, devono essere considerate un'arma dissuasiva, ogni violazione pertanto dovrà essere soppesata alla luce della sua concreta gravità. Le sanzioni saranno, quindi, proporzionate anche all'azienda, in modo da non costringerla a chiudere l'attività.
Infine una novità importante introdotta dal GDPR rispetto ai proventi derivanti dalla riscossione delle sanzioni amministrative pecuniarie comminate che, nella misura del cinquanta per cento, vanno a finanziare la stessa Autorità Garante “per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento”.
2.3 Le violazioni penali
Il GDPR dispone (art. 84) che sia compito dei singoli Stati membri regolare la materia penale chiedendo a tal fine che le sanzioni previste siano in ogni caso "effettive, proporzionate e dissuasive". Come visto precedentemente il legislatore nazionale ha rivisto le fattispecie penali previste dal Codice privacy sostanzialmente confermando l'impianto precedente.
La novità più importante nella costruzione del reato di cui al nuovo art. 167 è come detto la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Non si terrà quindi conto del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati.
In tal modo il legislatore ha inteso approntare un'ampia difesa della potenziale vittima andando anche a ricomprendere nella tutela prevista dalla norma il danno d’immagine e reputazionale eventualmente subito dalla stessa (coprendo così anche la gravissima fattispecie del revenge porn).
Per quanto attiene nello specifico le sanzioni comminate nel caso in cui il soggetto invii comunicazioni indesiderate (c.d. spam) il nuovo art. 167 al primo comma prevede che la condotta in esame possa essere punita con la pena della reclusione da sei mesi ad un anno e sei mesi.
Per limitare il rischio di sovrapposizioni tra il procedimento amministrativo e quello penale, è stato introdotto un meccanismo di coordinamento, il Pubblico Ministero deve infatti informare l'Autorità di controllo senza ritardo. Parimenti il Garante deve trasmettere al Pubblico Ministero la documentazione raccolta in sede amministrativa qualora si presuma la sussistenza di un reato.
La sanzione penale subisce un ulteriore meccanismo di limitazione nel caso in cui per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria dal Garante: in questo caso la pena per il reato è diminuita.
3. La Polizia Postale come primo presidio contro l'attività di spamming
Come visto la legge, anche grazie al recente intervento in materia della normativa europea, attua un'ampia tutela per i singoli anche contro i fenomeni di invio di comunicazioni di natura commerciale in assenza di preventivo consenso informato da parte del destinatario di dette comunicazioni.
Chi in concreto dovesse subire un attacco spamming può in prima battuta segnalare l'evento alla Polizia Postale e delle Comunicazioni ovvero il corpo della Polizia di Stato specializzato nella repressione dei reati legati all'utilizzo dei mezzi di comunicazione.
Quindi nel caso in cui la propria casella di posta elettronica venga, nei casi più gravi, inondata con messaggi persecutori o comunque sgraditi ovvero quando lo spamming è realizzato a scopo estorsivo o intimidatorio è possibile sporgere denuncia. È altresì possibile segnalare alla Polizia Postale lo spam quando la posta indesiderata viola la privacy, cioè quando gli operatori commerciali procedono ad invio di comunicazioni senza aver preventivamente richiesto il nostro consenso.
In tutti questi casi è possibile segnalare lo spam alla Polizia postale recandosi fisicamente presso l'ufficio più vicino per sporgere denuncia oppure attivando la procedura della denuncia online.
Per effettuare una denuncia online è necessario registrarsi sul sito della Polizia Postale cliccando su "collabora" nella homepage. Va specificato che la denuncia online è solo uno schema di denuncia, una volta completata infatti il sistema genera una ricevuta telematica con cui bisognerà, sempre e comunque, presentarsi all’ufficio di polizia postale più vicino presso cui si potrà integrare la denuncia.
L'atto infatti assume valore legale di denuncia solo con la sottoscrizione da parte dell'interessato cittadino davanti all’ufficiale di Polizia.
3.1 Quali altri forme di tutela possono essere attivate in caso si subisca lo spam?
Nel caso in cui l'invio di comunicazioni commerciali violi quanto disposto dalla legge in materia due le possibili forme di tutela per il destinatario di comunicazioni indesiderate:
- la tutela amministrativa, attraverso la presentazione di segnalazioni e reclami al Garante della protezione dei dati. L'art 77 del GDPR prevede infatti che "fatto salvo ogni altro ricorso amministrativo o giurisdizionale l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione".
Il Garante, a seguito di reclamo da parte del soggetto interessato ma altresì nell'esercizio dei suoi autonomi poteri di indagine e controllo in materia, rilevata una violazione può irrogare sanzioni correttive di diverso tipo fra cui, come visto, anche sanzioni amministrative.
- la tutela giurisdizionale innanzi al Giudice ordinario per ottenere il risarcimento del danno. L'art 82 GDPR sul punto prevede che "chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento".
Nonostante la diversa formulazione rispetto alla normativa previgente la responsabilità per violazione della privacy continua ad ispirarsi al modello della responsabilità per esercizio di attività pericolosa di cui all’art. 2050 cod. civ. Per completezza occorre però rilevare, con riferimento alle azioni sul risarcimento del danno, la necessità nel concreto di valutare anche la posizione assunta dalla giurisprudenza interna rispetto alla tutela del diritto al risarcimento del danno dettata dal Regolamento europeo in esame.
Ad esempio si veda quanto statuito dalla Suprema Corte in ordine alla non risarcibilità dei danni c.d. bagatellari conseguenti ad una attività di spam. Il Giudice di legittimità, confermando l'orientamento già espresso in precedenza sul punto, ha ribadito che per aversi la risarcibilità del c.d. danno da spamming non basta rilevare una violazione formale delle norme ma occorre verificare in concreto "la “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato)". In sostanza a meno che lo spamming non sia manifestamente eccessivo non si ha alcun diritto al risarcimento. Se al contrario lo spam lede in maniera seria e grave il diritto alla riservatezza dell'interessato, il risarcimento del danno subito attiene, comunque, soltanto il danno morale causato dall'invio di e-mail indesiderate, pregiudizio quest'ultimo che deve essere provato in concreto dal danneggiato stesso.
La tutela prevista dalla legge è di tipo alternativo poiché il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’Autorità Giudiziaria e viceversa (art. 140 bis commi 2 e 3 GDPR).
In ogni caso i provvedimenti adottati dalle autorità di controllo possono essere impugnati dinanzi all'autorità giudiziaria.
Fonti normative
D.lgs 196/2003 (c.d. Codice privacy): Codice in materia della protezione dei dati
D.lgs 101/2018 (c.d. decreto privacy)
Regolamento Europeo 679/2016 (GDPR, General Data Protection Regulation)
Codice civile: art. 2050
Corte di cassazione, sez. III penale , sentenza 15 giugno 2012, n.23798
Corte di cassazione, sez. I civile, sentenza 8 febbraio 2017, n. 3311
La tua casella di posta elettronica è inondata da e-mail pubblicitarie senza il tuo consenso? Sei stato vittima di social spam sui tuoi account? Vuoi proteggere i tuoi dati sensibili durante la navigazione Internet ma non sai come fare? Esponici il tuo caso. AvvocatoFlash ti metterà in contatto con i migliori avvocati online. Tre di loro ti invieranno un preventivo gratuitamente e sarai tu a scegliere a chi affidare il tuo caso.