Il rapporto tra le email SPAM e il GDPR

In questo periodo di emergenza nazionale, in cui si è stati costretti a rimanere a casa con molto tempo libero a disposizione, sono molti coloro che hanno colto l’occasione per controllare la propria casella email, magari ignorata e per far pulizia da tutto ciò che è apparso indesiderato.

Ed è proprio in tale circostanza che gli utenti si sono imbattuti nelle innumerevoli email spam che costantemente invadono le caselle di posta elettronica.

Le domande che sorgono spontanee sono: lo spam è una pratica marketing lecita?

L’utente ha a disposizione degli strumenti per difendersi dai cosiddetti spammers? Ma soprattutto lo spam è reato?

Tracciata la cornice normativa di riferimento, sarà possibile trovare risposta alle domande.

Email SPAM: tra origini e significato

Premesso che per spam, in questa sede, intendiamo l’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari, pochi sanno che il termine ha origine dal marchio di una carne in scatola, nota negli Stati Uniti per la sua scadente qualità.

Oggi, il termine indica la cosiddetta posta “spazzatura”, creata attraverso qualunque sistema di comunicazione, anche se quello più utilizzato risulta essere la posta elettronica.

La regola generale che legittima l’invio di comunicazioni a carattere commerciale richiede la necessaria e comprovata sussistenza del consenso specifico dell’interessato, come chiarito dal legislatore italiano all’art. 130 del codice della privacy novellato dal D.lgs 101/2018, ai sensi del quale:

“l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.”

Pertanto, in via generale, in assenza di un’esplicita autorizzazione al trattamento dei dati personali per finalità di marketing, non è possibile inviare email commerciali, di marketing o pubblicitarie.

Email commerciali: eccezione alla raccolta del consenso

Nelle sue linee guida in materia di attività promozionale e contrasto allo SPAM” del 26 Luglio 2013 il Garante Privacy enuncia:

L’Autorità ricorda che per le comunicazioni di cui all´art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all´art. 24 del Codice.

Per la sola posta elettronica, tuttavia, può ricorrere l´eccezione del c.d. “soft spam”, di cui all´art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall´interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell´interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l´interessato, adeguatamente informato, non rifiuti tale uso.

Sanzioni e Reati

Chiarite le situazioni che legittimano la corretta esecuzione della pratica, contempliamo l’ipotesi in cui le condizioni richieste dalla normativa non si realizzino. In particolare, in assenza del consenso specifico dell’interessato si configura un illecito trattamento di dati personali quali nominativi, indirizzi di residenza, numeri di telefono e indirizzi email.

La condotta illecita dei cosiddetti spammers richiama in primis l’applicazione delle sanzioni amministrative di cui all’art. 83, paragrafo 5 del regolamento europeo privacy 2016 /679 che prevedono per tale comportamento il pagamento di somme fino a 20.000.000 di euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, trattandosi della violazione di principi di base del trattamento, in particolare delle disposizioni sul consenso. Inoltre qualora l’interessato ritenga di aver subito un danno dalla condotta illecita, sarà legittimato ad esperire un’azione civile dinnanzi al giudice, soltanto nel caso in cui il pregiudizio recato superi la soglia minima di offensività, configurandosi come serio e grave (Cass. Civ. Sez. I – n. 3311/2017).

Affinché invece sia riconosciuta rilevanza penale alla condotta posta in essere, occorre che si realizzino le condizioni esplicitate dall’articolo 167 del codice della privacy, ai sensi del quale:

“Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”.

Dalla lettura della disposizione si evince che affinché lo spam sia riconosciuto come reato, il fine dello spammer deve essere quello di trarre profitto per sé o per altri o recare danni e la condotta deve cagionare una concreta ed effettiva lesione della sfera personale o patrimoniale dell’interessato.

Ed è proprio su quest’ultimo aspetto inerente il nocumento all’interessato, oggetto di differenti interpretazioni, che la sentenza della Cassazione n. 41604/2019 fa chiarezza, fornendo dei parametri di giudizio affinché lo spam sia reato:

· numerosi messaggi inviati ad uno stesso soggetto da uno stesso mittente (superiori a 3 o 4) tali da comportare una significativa invasione dello spazio informatico;

· insistenza nell’invio di messaggi anche a seguito dell’esercizio del diritto di opposizione;

· manifestazione della contrarietà a ricevere mail da parte dell’interessato e perseveranza da parte del mittente;

· disagio sofferto dall’interessato.

Dunque, in conformità a quanto pronunciato dalla Cassazione, lo spam non è reato nel caso in cui comporti il solo disagio di dover cancellare qualche email ricevuta occasionalmente, ma dovranno realizzarsi le situazioni sopraelencate, tali da configurare un vero e proprio nocumento all’interessato.