La raccolta degli indirizzi e-mail sul web e l’invio di comunicazioni indesiderate: qual

Diverso è il caso in cui non sia il consumatore a richiedere il servizio di newsletter, ma l’impresa, avvalendosi di un sistema di invio, raccolga gli indirizzi di posta elettronica sul web; se nel primo caso non è necessario predisporre un apposito form per la prestazione del consenso123 _{(a meno che non si leghino a questo trattamenti dati per}

l’invio di promozioni, come esplicitato sopra), il secondo caso solleva dei dubbi. Nel caso di persone giuridiche, la pubblica accessibilità dell’indirizzo di posta elettronica è prassi frequente e quasi necessitata: le imprese mettono a disposizione i propri contatti online, in calce alle pubblicità sulle riviste, nei siti web relativi agli eventi e alle esibizioni a cui prendono parte. Nel settore B2B, gli elenchi di partecipanti alle fiere sono nella maggior parte dei casi reperibili online negli stessi siti web dell’ente organizzatore, e sono utili alle imprese per poter conoscere gli espositori presenti, fare le proprie valutazioni e prendere contatti da sviluppare poi durante l’evento. Sono necessari quindi nella costruzione delle relazioni dell’impresa e per questo vengono ricercati, catalogati ed impiegati anche per l’invio di comunicazioni sulle novità di prodotto e news dell’azienda. Ad una prima

122 _{Garante della privacy, provvedimento inibitorio e prescrittivo nei confronti di AdSpray S.r.l. del 25} settembre 2014.

123 _{È lo stesso interessato che fornisce il proprio indirizzo e-mail acconsentendo alla ricezione delle e-mail} di newsletter, quindi il responsabile del trattamento sarà solo obbligato a rendere una chiara e puntuale informativa. Un esempio virtuoso in questo senso è la stessa informativa predisposta dal garante per la ricezione delle newsletter, disponibile all’indirizzo: http://www.garanteprivacy.it/home/stampa- comunicazione/newsletter.

116

valutazione, la conclusione sarebbe quella di includere tali dati tra quelli previsti dall’art. 24, comma 1, lettera c) del Codice124 _{per il trattamento dei quali, essendo conoscibili da}

chiunque, non servirebbe il consenso. L’invio di comunicazioni a scopo prettamente informativo inoltre non è accostabile a quello a scopo promozionale, ma, nonostante si tratti di due funzionalità diverse, la normativa non è chiara sul punto e non prevede né nega alcuna distinzione. Ad una prima sommaria valutazione, la pratica di raccolta di indirizzi online e l’uso di questi quali destinatari di newsletter sembrerebbero azioni lecite e possibili senza consenso preventivo dell’interessato. Tali dovrebbero essere, sempre a condizione che prevedano in calce al messaggio l’opzione di svincolarsi dal ricevimento e cancellarsi dalla newsletter list. Questa opinione non risulta invece essere condivisa dal Garante il quale ha dichiarato espressamente che «l’eventuale disponibilità in Internet di indirizzi di posta elettronica, anche se resi conoscibili dagli interessati attraverso siti web o newsgroup, va rapportata alle finalità per cui essi vi sono stati pubblicati. I dati personali resi in tal modo conoscibili in relazione a finalità ed eventi delimitati non sono infatti liberamente utilizzabili per l’invio di e-mail aventi finalità differenti anche in assenza di uno scopo pubblicitario o promozionale»125_{. Tale pratica potrebbe rivelarsi}

quindi non lecita e configurare una delle ipotesi previste e sanzionate dal titolo III del codice, seppur, nell’opinione di chi scrive, talmente radicata nella prassi che tale previsione rischia di risultare piuttosto sproporzionata rispetto alla realtà fattuale.

Il rapporto di “sproporzione” tra la condotta antigiuridica e sanzione non si fonda solo sul giudizio personale di chi scrive. La necessità di una sua valutazione discende dalla natura stessa del diritto e dal suo bilanciamento con il principio di tolleranza della lesione minima, discendente dal principio di solidarietà ex art. 2 Cost, come stabilito dalla Corte di Cassazione in una recente pronuncia126_{. Con la sentenza, la Corte ha rigettato il ricorso}

presentato da un avvocato del Foro di Milano, che aveva convenuto in giudizio la SIAA (Società Italiana Avvocati Amministrativisti) per il fatto di avergli inviato dei messaggi di posta elettronica senza il suo consenso. Nelle argomentazioni dell’organo

124 _{«dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando} i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati» art. 24, comma 1, lett. C, Codice della Privacy.

125 _{Provvedimento del 25 novembre 2002, “Reti telematiche e Internet - La pubblicazione di indirizzi e-} mail non ne legittima l'impropria utilizzazione”. Cfr. in questo senso anche il provvedimento del 11 gennaio 2001.

117

nomofilattico, il nodo della questione si incentra sulla “gravità della lesione” e della “serietà del danno”, verifica che non può essere omessa dalla valutazione del danno non patrimoniale risarcibile ai sensi dell’art. 2050 c.c., a cui l’art. 15 del Codice della Privacy rimanda; pur se determinato dalla lesione del diritto fondamentale alla protezione dei dati personali, garantito dagli artt. 2 e 21 della Costituzione e art. 8 della CEDU, il giudizio non si sottrae dall’apprezzamento della perdita di natura personale effettivamente subita dall’interessato, in quanto anche tale diritto deve essere sottoposto al «bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del medesimo codice, ma solo quella che ne offenda in modo sensibile la sua portata effettiva». Pertanto, viene stabilita una cd. soglia di risarcibilità, frutto del bilanciamento del principio di solidarietà verso la vittima e quello di tolleranza127_{: la violazione del diritto alla protezione dei dati personali}

deve essere accertata alla luce dell’effettiva portata del danno, che, se consistente solo in un “modesto disagio o fastidio” tollerabile, non può essere considerato risarcibile ai sensi dell’art. 2050 c.c. e quindi dell’art. 15 del Codice128_{. La Corte, ribadendo tale principio,}

ha rigettato il ricorso e confermato la sentenza del giudice di merito, che nel caso di specie, prescindendo dai profili relativi alla legittimità del trattamento dei dati personali, aveva considerato l’invio di dieci e-mail nell’arco di tre anni prova non sufficiente a determinare l’esistenza e l’entità del danno.

La sentenza si pone in una linea di continuità con la giurisprudenza e la dottrina prevalenti in materia di risarcimento dei danni non patrimoniali129_{, ed esclude «l’esistenza}

127 _{V. LO VOI, Il danno non patrimoniale per violazione della privacy richiede la verifica della “gravità} della lesione” e della “serietà del danno”, in dirittocivilecontemporaneo.com, n. 2, 2014.

128 _{La Corte di Cassazione ha affrontato la questione dei requisiti per l’ammissione a risarcimento di danni} non patrimoniali conseguenti ad una lesione di diritti costituzionali inviolabili in una serie di pronunce rilevanti, le cd. sentenze di S. Martino: Cass. S.U. n. 26972, 26973, 26974, e 26975 dell’11 novembre 2008. Sul tema cfr. tra gli altri C. SCOGNAMIGLIO, Il sistema del danno non patrimoniale dopo le decisioni delle Sezioni Unite, in Resp. civ. prev., 2009, A. VIGLIANISI FERRARO, Il nuovo volto del danno non patrimoniale ed il “diritto inquieto”, in Nuova giur. civ. comm, n. 2, 2010. Sul danno non patrimoniale cfr. P. ZIVIZ, Il danno non patrimoniale: istruzioni per l’uso, in Resp. civ. e prev., 2009.

129 _{In particolare con la pronuncia Cass. Civ. sez. III 15 luglio 2014, n. 16133, dove la Corte, al fine di} evitare la risarcibilità di danni cd. bagatellari, ha ribadito la necessaria compresenza dei due requisiti di gravità della lesione e non futilità del danno al fine di determinare il danno risarcibile ai sensi dell’art. 15 del Codice della privacy. Cfr. il commento V. LO VOI, Il danno non patrimoniale per violazione della privacy richiede la verifica della “gravità della lesione” e della “serietà del danno, cit. In tempi più recenti, sempre la stessa Corte: «il danno non patrimoniale - qualsiasi danno non patrimoniale - giammai si sottrae alla verifica della gravità della lesione e della serietà del pregiudizio patito dall'istante, essendo consustanziale al principio di solidarietà di cui all'art. 2 della Costituzione, di tolleranza della lesione

118

di un danno in re ipsa, sia con riferimento all’ipotesi delle lesioni di diritti inviolabili, sia con riferimento ai casi in cui il risarcimento del danno non patrimoniale sia previsto espressamente dalla legge»130_.

Da questa posizione è ragionevole dedurre l’attitudine da parte dei giudici a porre quasi in secondo piano la questione a monte del caso, ovvero l’illiceità relativa al trattamento dei dati personali. Dalla pronuncia citata, si ha l’impressione che la violazione delle norme sulla corretta modalità di trattamento dei dati personali venga “mitigata” dall’esistenza di una conseguenza sul piano della lesione del diritto equiparabile ad un mero fastidio; in altre parole, sembra ravvisarsi il rischio che «la scelta del legislatore di garantire ad un certo diritto (magari, di natura inviolabile) la massima garanzia potrebbe finire per essere frustrata in sede applicativa, a causa del soggettivo convincimento di una qualche autorità giudiziaria circa la non serietà del pregiudizio patito o la non gravità dell’offesa all’interesse tutelato»131_{. Se da un lato tale posizione risulta criticabile, dal}

momento che sembra non ammettere una completa garanzia ad un diritto costituzionalmente tutelato, dall’altro lato è apprezzabile l’aderenza della pronuncia alla realtà, ovvero che l’accertamento di fatto, rimesso al giudice di merito, resti ancorato alla concretezza della vicenda materiale ed al suo essere maturata in un dato contesto temporale e sociale, in cui l’invio di e-mail informative e pubblicitarie rappresenta una prassi ben consolidata.

Tale orientamento vede una corrispondenza nell’ordinamento penalistico, attraverso il principio di effettiva offensività della condotta, che trova espressione nell’art. 167 del Codice della privacy132_{: il legislatore adotta il termine “nocumento”, espressione}

minima: il che vuoi dire che non v'è diritto per cui non operi la regola del bilanciamento, in forza della quale, perché si abbia una lesione ingiustificabile e risarcibile dello stesso, non basta la mera violazione delle disposizioni che lo riconoscono, ma è necessaria una violazione che ne offenda in modo sensibile la portata effettiva», Cass. Sez. Unite, n. 3727

130 _{V. LO VOI, Il danno non patrimoniale per violazione della privacy richiede la ve1rifica della “gravità} della lesione” e della “serietà del danno, cit.

131 _{A. VIGLINISI FERRARO, Diritto alla riservatezza e danno non patrimoniale nella recente} giurisprudenza della Suprema Corte italiana, in Revista Electronica de Direito, n. 2, 2015. L’autore è particolarmente critico nei confronti del principio di diritto elaborato dalla Cassazione nella pronuncia n. 16133 del 2014, in quanto «legittimare, del resto, un’attività di balancing giurisprudenziale tra elementi eccessivamente differenti tra di loro, come un diritto (chiaro e ben definito) formulato dal legislatore – da un lato – ed un principio (vago ed indeterminato) dettato dalla Costituzione – dall’altro –, ed aprire il varco ad una disinvolta ammissione della possibilità di invocare direttamente quest’ultimo per dirimere questioni concernenti il danno non patrimoniale, potrebbe condurre ad esiti inediti e controproducenti». Altre posizioni critiche cfr. P. ZIVIZ, I danni non patrimoniali, UTET, 2012.

132 _{Art. 167 del Codice, primo comma: «Salvo che il fatto costituisca più grave reato, chiunque, al fine di} trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in

119

finalizzata a «evitare che la disposizione trovi un'applicazione eccessivamente formale e, quindi, anche a dare "effettività" alla tutela della riservatezza dei dati personali». Così lo ha interpretato la Corte di Cassazione in una pronuncia relativamente recente133_{, che ha}

confermato la legittimità della condanna a nove mesi di reclusione per l'amministratore delegato ed il direttore finanziario di una società, per il delitto di trattamento illecito di dati personali, in violazione degli artt. 23, 129 e 130 del Codice della Privacy. Alla società veniva contestata un'azione di spamming con invio di newsletter a migliaia di soggetti che non l'avevano richiesta e che al contempo inviavano mail di protesta al gestore del database. I gestori della società lamentavano l’assenza di nocumento, dal momento che i destinatari delle e-mail indesiderate, sentiti come testimoni, avevano affermato di non aver patito alcun fastidio dalla ricezione indesiderata, né alcun danno patrimoniale apprezzabile. Ma la Corte, riprendendo la sentenza del giudice di merito, confuta la tesi sostenendo che il nocumento conseguente all’illecito può essere di vario genere, «non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii». Pertanto la Corte rigetta il ricorso proposto dai gestori, concludendo che l’utilizzazione di un grande numero di dati personali rappresenta «una indubbia e massiccia invasione della libertà personale sotto il profilo del diritto alla riservatezza di un più che significativo numero di persone, un indubbio fastidio, per la necessità di cancellare la posta indesiderata ed anche la messa in pericolo della privacy, attesa la circolazione non autorizzata di dati personali».

Il fastidio procurato dalla ricezione delle comunicazioni elettroniche acquisisce una rilevanza molto diversa rispetto a quella ad esso riservata nella citata sentenza in ambito privatistico. Qui il messaggio di posta elettronica non rappresenta più una comunicazione, ma un’informazione forzata che il destinatario subisce senza aver prestato alcun consenso134_{: questa costrizione a leggere costituisce un’invasione nello spazio privato del}

violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.»

133 _{Cass. Pen. Sez. III, 24 maggio 2012, n. 23798.}

134 _{L. CUOMO, La corte di cassazione ridefinisce i confini dello spamming: alcune puntualizzazioni} sull'invio abusivo di newsletter e sulla sottrazione di banche dati, in Cassazione Penale, n. 6, 2013, secondo cui: «La sentenza, in conclusione, contribuisce a costruire un nuovo sistema che, nel bilanciamento tra esigenze informative delle imprese e diritto alla riservatezza dei cittadini, tende ad assoggettare le comunicazioni al consenso preventivo o ad un filtro di ammissibilità, che sia idoneo a fornire all'utente la

120

soggetto, e dunque impone una reazione da parte dell’ordinamento. Si è in presenza di un approccio più incisivo alla tutela dei dati personali, complice forse l’ampio spettro di individui che hanno visto violare il proprio diritto alla riservatezza (più di 170.000), e dunque l’ampia portata della condotta antigiuridica.

5. Prodotto. Il design al centro delle strategie competitive dell’impresa e la tutela