GDPR e Spamming: i casi in cui non è perseguibile
Con il termine spamming si indica l’invio di comunicazioni/messaggi elettronici non richiesti a un certo numero di destinatari. Il contenuto dei messaggi elettronici può essere vario, ma per lo più è a carattere pubblicitario, ovvero con finalità di propaganda politica o di proselitismo religioso.
Nella pratica dello spamming, affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario delle email “moleste” un danno effettivo (c.d. nocumento), che non può limitarsi al semplice fastidio di dover cancellare di volta in volta le e-mail indesiderate, ma deve invece tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario.
È questo il principio di diritto affermato dalla Terza Sezione Penale della Corte di Cassazione, con la sentenza n. 41604 depositata in data 10 ottobre 2019.
Il caso è relativo a una persona condannata in grado di appello alla pena, condizionalmente sospesa, di mesi 6 di reclusione, in quanto ritenuta colpevole del reato di cui all’art. 167, in relazione all’art. 130, d.lgs. n. 196 del 2003 (c.d. Codice Privacy) a lui contestato per aver proceduto al trattamento illecito dei dati personali degli iscritti all’Associazione Igienisti Dentali Italiani, inviando reiteratamente agli stessi numerose email con cui pubblicizzava propri corsi di aggiornamento, agendo al fine di procurarsi un profitto, consistito nell’ottenere la partecipazione a corsi e convegni da lui patrocinati o organizzati nel settore dell’igiene dentale, e procurando altresì agli associati un nocumento, consistente nella necessità di controllare e vagliare le numerose email inviate senza il loro consenso.
I giudici della Cassazione, tuttavia, esprimono parere contrario alla condanna e assolvono l’imputato con la formula “perché il fatto non sussiste”.
Secondo la Cassazione, a differenza di quanto sostenuto dai giudici di merito, deve infatti escludersi che il comportamento dell’imputato sia suscettibile di essere inquadrato nella fattispecie di cui all’art. 167 Codice Privacy, rubricato “Trattamento illecito di dati personali”.
A seguito dell’introduzione del GDPR anche nell’ordinamento italiano, tale norma è stata riformata dal d.lgs. 10 agosto 2018, n. 101 (art. 15, comma 1, lett. b) che però non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto in particolare invariato l’elemento soggettivo del reato, costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento. Il reato si connota pertanto come delitto a dolo specifico (così anche Cass. Pen., Sez. 3, n. 3683 del 11/12/2013, dep. 2014, Rv. 258492), la cui struttura finalistica è incompatibile con la forma del dolo eventuale, che postula l’accettazione solo in via ipotetica, seppure avverabile, del conseguimento di un determinato risultato.
Parimenti immutato, secondo i giudici della Cassazione, è rimasto il richiamo alla necessità del verificarsi di un “nocumento”, dovendosi tuttavia precisare al riguardo che nell’attuale versione normativa dell’art. 167 Codice Privacy (“salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli artt. 123, 126 e 130 o dal provvedimento di cui all’art. 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi“), la determinazione del nocumento si configura come un elemento costitutivo della fattispecie penale.
Al contrario, nella precedente formulazione del reato, peraltro vigente al momento del fatto, è stata invece a lungo prevalente nella giurisprudenza di legittimità, anche in ragione del tenore testuale della norma (l’agente “è punito, se dal fatto deriva nocumento“) la tesi che qualificava il nocumento come una condizione obiettiva di punibilità, idonea cioè ad attualizzare l’offesa dell’interesse tutelato già realizzata dal fatto tipico (cfr. Sez. 3, n. 7504 del 16/07/2013, dep. 2014, Rv. 259261 e Sez. 5, n. 44940 del 28/09/2011, Rv. 251448), anche se si è poi delineata una diversa impostazione ermeneutica, invero più condivisibile, secondo la quale il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono costituisce, per la sua omogeneità rispetto all’interesse leso, e la sua diretta derivazione causale dalla condotta tipica, un elemento costitutivo del reato, e non una condizione oggettiva di punibilità, con la conseguenza che il nocumento deve essere previsto e voluto o comunque accettato dall’agente come effetto della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione (Sez. 3, n. 40103 del 05/02/2015, Rv. 264798).
Quanto poi al contenuto del nocumento, deve richiamarsi la condivisa affermazione di questa Corte (cfr. ex multis Sez. 3, n. 52135 del 19/06/2018, Rv. 275456 e Sez. 3, n. 15221 del 23/11/2016, dep. 2017, Rv. 270055), secondo cui il nocumento previsto dall’art. 167 Codice Privacy deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento.
La nozione di nocumento, in definitiva, coerentemente con l’etimologia del termine (derivante dal verbo nuocere, ovvero arrecare un danno anche morale), evoca l’esistenza di una concreta lesione della sfera personale o patrimoniale, che deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti.
Orbene, in applicazione di tale premessa ermeneutica, secondo la Cassazione deve escludersi che nel caso specifico sia ravvisabile un “nocumento” nel senso appena indicato.
Se, infatti, deve convenirsi circa l’illegittimità del trattamento, stante la violazione dell’art. 130 Codice Privacy, disposizione dedicata alle “comunicazioni indesiderate” (anch’essa integrata con la novella del 2018 ma senza sostanziali variazioni), che subordina al consenso dell’utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate tra l’altro anche mediante posta elettronica, occorre tuttavia osservare che i vari destinatari delle e-mail inviate dall’imputato non hanno ricevuto alcun pregiudizio giuridicamente apprezzabile, dato che che ciascun igienista dentale iscritto all’associazione ha in realtà ricevuto dal ricorrente un numero molto contenuto di messaggi, in media non più di tre o quattro, per cui non può affatto parlarsi di una significativa invasione del proprio spazio informatico.
Sempre secondo la Corte, deve essere data rilevanza alla circostanza che, nel caso di specie, non vi sia mai stata alcuna formale rimostranza da parte dei singoli iscritti nei confronti dell’imputato, tale da rendere manifesta la contrarietà all’invio di quelle poche mail. Infatti, nessun destinatario delle e-mail aveva manifestato all’imputato la sua opposizione a ricevere i suoi messaggi promozionali, il cui invio peraltro è avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta, dovendosi avere riguardo in tal senso non al numero complessivo di messaggi inviati a tutti gli iscritti all’associazione, ma all’entità dei messaggi spediti a ogni singolo associato, posto che la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte.
In quest’ottica, deve quindi escludersi che la ricezione di tre o quattro e-mail nell’arco di circa cinque mesi, senza alcuna diffida preventiva rivolta al mittente, possa integrare un “nocumento” idoneo a giustificare l’attribuzione della penale responsabilità, non essendo sufficiente in tal senso qualche generica lamentela rivolta da taluno degli associati alla propria associazione di categoria e non direttamente all’imputato, che pertanto è stato dichiarato assolto dall’accusa “perché il fatto non sussiste”.