La Terza Sezione Penale della Corte di Cassazione, con sentenza n. 41604 del 10 ottobre 2019, ha escluso il reato ogni qual volta lo spamming, ovvero l’invio massiccio di posta elettronica effettuato a scopo promozionale, non procuri nocumento per l’interessato, sia esso patrimoniale o non patrimoniale, nocumento che non può consistere, come nella vicenda oggetto della pronuncia, nel mero disagio di dover cancellare delle e-mail per l’invio delle quali non era stato richiesto il consenso preventivo.
La condotta in esame, punita sia in primo grado che in appello, consisteva nell’aver trattato illecitamente alcuni dati personali degli iscritti a una Associazione mediante l’invio di email, massivo e privo di alcun consenso espresso, nelle quali l’imputato reclamizzava propri corsi di aggiornamento al fine di procurarsi un profitto (la partecipazione ai corsi).
Gli Ermellini tuttavia, riportandosi all’art. 167 del dlgs. n. 196/2003, così come riformulato dal dlgs. n. 101 del 10 agosto 2018, hanno annullato la sentenza impugnata perché il fatto non sussiste, non ritenendosi verificato nel caso concreto alcun nocumento dal momento che, seppure vi sia stato un trattamento dei dati illecito in quanto privo di consenso, il numero di messaggi ricevuti dai membri dell’associazione era così contenuto da non potersi parlare di “invasione dello spazio informatico degli associati”.
“Ora, non c’è dubbio che, nell’attuale contesto socio-economico, è molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro; tuttavia, affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario”. Inoltre, la Corte ha avuto modo di precisare meglio che “il nocumento non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alla spedizione di una determinata tipologia di messaggi”.
Qui si vede il cambiamento nell’impostazione giurisprudenziale: la Suprema Corte dimostra con questa pronuncia di aver accolto un’interpretazione del nocumento quale elemento costitutivo della fattispecie tipica in quanto occorre “una concreta lesione della sfera personale o patrimoniale, che, nell’ottica della fattispecie per cui si procede, deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti”. In altre parole, oggi, secondo questo nuovo orientamento, il titolare del trattamento risponderà penalmente di trattamento illecito di dati personali ogni qual volta agisca nella coscienza e volontà di realizzare un trattamento illecito, ossia nella coscienza e volontà di inviare comunicazioni commerciali fuori dai presupposti di liceità di cui all’art. 130 del Codice privacy, non solo al fine di profitto, ma anche nella consapevolezza di causare all’interessato un vero e proprio pregiudizio consistente nella ricezione di email indesiderate.
Quanto poi al risarcimento del danno, posto che in sede civile esso può sorgere indipendentemente dal fatto che la condotta integri o meno un reato, non può considerarsi in re ipsa e non può quindi prescindere dalla verifica di una sussistenza in concreto, anche in riferimento alla sua gravità.
Si ricordi da ultimo che, poiché il trattamento dati è riconducibile allo svolgimento di un’attività pericolosa, vige la presunzione di colpa in capo a colui che lo effettua e sarà quindi lui, e non il soggetto danneggiato, a dover provare di avere subito un danno, fornendo la prova contraria (ad esempio dimostrando di avere acquisito il consenso).