Mandare mail a scopo pubblicitario non sempre integra il reato di trattamento illecito dei dati con spam in quanto il nocumento è da valutare in relazione al singolo destinatario.
Il reato di cui all’art. 167 D.Lgs. n. 196 del 2003, rubricato “trattamento illecito di dati personali”) prima della riforma era così formulata:”1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20 e 21, art. 22, commi 8 e 11, artt. 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
La norma è stata di recente riformata dal D.Lgs. 10 agosto 2018, n. 101 (art. 15, comma 1, lett. b)) che tuttavia non ha inciso in termini sostanziali sul contenuto della fattispecie.
In particolare, immutato è rimasto il richiamo alla necessità del verificarsi di un “nocumento”, ossia una concreta lesione della sfera personale o patrimoniale che deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti.
Sulla base di tali premesse, in un caso di invio di alcune mail aventi contenuto pubblicitario, la Suprema Corte, con la recente sentenza n. 41604/2019, non ha ritenuto di ravvisare la fattispecie di reato in parola.
Ciò in quanto, nel caso trattato – nonostante la ritenuta illegittimità del trattamento, per la violazione dell’art. 130 D. Lgs. 196/2003, disposizione dedicata alle “comunicazioni indesiderate” (anch’essa integrata con la novella del 2018 ma senza sostanziali variazioni), che subordina al consenso dell’utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate, tra l’altro, anche mediante posta elettronica – è stato osservato che i vari destinatari delle mail inviate non hanno ricevuto alcun pregiudizio giuridicamente apprezzabile, essendo stato inviato un numero molto contenuto di messaggi, in media non più di tre o quattro, “per cui non può affatto parlarsi di una significativa invasione del proprio spazio informatico”
In particolare, nessun destinatario delle e-mail ha manifestato nel corso del tempo la sua opposizione a ricevere i messaggi promozionali inviati da quella persona, peraltro in un ristretto arco temporale di pochi mesi e in misura contenuta.
Non c’è dubbio che, nell’attuale contesto socio-economico, sia molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro.
Tuttavia, dice la Corte di Cassazione, “affinchè tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario”.
Diverso è il caso in cui si utilizzi indebitamente un “data-base” contenente l’elenco di utenti iscritti a una “newsletter” ai quali vengono “inviati messaggi pubblicitari non autorizzati provenienti da altro operatore, che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l’immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la “privacy” dalla circolazione non autorizzata delle informazioni personali” (in tal senso si è pronunciata la Suprema Corte con sentenza n. 23798/2012, in cui si è trattato di un caso di utilizzo in rete dei dati personali di almeno 177.090 persone, tramite l’indebita sottrazione di un “data-base” contenente più di 400.000 nominativi, per cui si era in presenza di un ben diverso livello di invasione dell’altrui sfera di libertà informatica).
La nozione di nocumento va agganciata a quella di offensività, qualificando la fattispecie in termini di reato di pericolo concreto e non presunto.
Nell’attuale sistema informativo e commerciale, in altre parole, il “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi.
Si deve quindi escludere che la ricezione di tre o quattro mail nell’arco di pochi mesi, senza alcuna diffida preventiva rivolta al mittente, possa integrare un “nocumento” idoneo a integrare la fattispecie contestata di trattamento illecito dei dati personali.
