Spam e Privacy. Uso dei dati personali illegittimo: ma se ti lamenti paghi

Lamenta la violazione dati personali per ripetuto "spam" nella propria email ma viene condannato a pagare le spese di lite e una sanzione per responsabilità aggravata. Cassazione Civile Sentenza n. 3311/2017

Spam e Privacy. Uso dei dati personali illegittimo: ma se ti lamenti paghi

La lettura della Sentenza n. 3311 del 08/02/2017 della Corte di Cassazione Civile da la misura di quanto sia pericoloso talvolta confidare nella presunta certezza della propria posizione giuridica, confortati dal fatto che "la legge mi da ragione" ed "è scritto nero su bianco". Il caso riguarda l'invio di ripetute e-mail da parte di una società senza che il titolare della casella di posta elettronica avesse mai acconsentito al trattamento dati personali e che, di conseguenza, era stato considerato un caso di spam.

Lo spammatore (società che promuove eventi e formazione), in realtà, aveva inviato solo dieci email in tre anni. L'interessato (un avvocato) al trattamento dei dati personali, presuntivamente trattati senza consenso, promoveva il giudizio di primo grado formulando una domanda di risarcimento danni quantficati in € 360,00. Una domanda commisurata alla scasa entità del disturbo, pari a 10 euro a e-mail ricevuta.

La società mittente delle email difendeva la propria posizione asserendo di avere avuto l'indirizzo della casella email dall'Ordine Avvocati e che l'utilizzo del dato personale non costituiva una violazione ai sensi dell'art. 15 Codice privacy in quanto dato pubblicato in un pubblico registro e che, pertanto, ricorreva l'esimente di cui al D.Lgs. n. 196 del 2003, art. 24, comma 1, lett. c).

Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
    a)  omissis
    b) omissis
    c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
   omissis

Tuttavia, il titolare dei dati aveva chiesto con una mail che fosse rimossa la sua email dall'indirizziario della società. Tale richiesta era stata ignorata ma, si difendeva la società, in quanto inviata da un indirizzo di posta diversa, il che faceva dubitare della qualità del richiedente (" ... non consentiva di comprendere che la richiesta provenisse da lui ...").

Il tema dell'utilizzo dell'indirizzo email ai fini di promozione commerciale ha una sua fisionomia giuridica Il fenomeno non è di poco conto se si considera l'ingente mole di posta spazzatura che ogni casella di posta riceve quotidianamente. Sulla base di dati statistici è emerso che della gigantesca quantità di mail spedite ogni giorno (250 miliardi) l'80% è costituito da spam, provocando un consistente quanto inutile inquinamento non solo delle nostre caselle di posta ma anche dell'ambiente in generale ("Una mail inquina più di una tazza di tè").

L'Autorità Garante per la protezione dei Dati Personali è intervenuta a suo tempo (nel 2013) per dettare delle linee guida in materia di posta elettronica promozionale ("Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013") e ivi si legge che, sostanzialmente, il codice privacy permette una facile difesa alla persona fisica mentre altrettanto non può dirsi per le persone giuridiche (" ...si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming - differentemente dalla persone fisiche- dal 6 dicembre 2011 non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più "interessati ...").

Talvolta, tuttavia, può non essere agevole comprendere quando l'interessato sia una persona fisica o persona giuridica, in particolare in materia di posta elettronica. Il libero professionista è una persona fisica, nel senso che non è una "company", una società. Del resto la stessa giurisprudenza è costante nel ritenere che la soggettività della ditta individuale risiede nella persona fisica (si cita ad esempio " ... la ditta non ha soggettività giuridica distinta ma si identifica con il titolare sotto l'aspetto sia sostanziale che processuale ..." , - Cass 3052/2006). Tuttavia è grande oramai la confusione fra persona giuridica e professionista da una lato e persona fisica e consumatore o contraente dall'altro. Si veda ad esempio il Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 - 20 settembre 2012 (Pubblicato sulla Gazzetta Ufficiale n. 268 del 16/11/2012) ove si legge nelle conclusioni che il Garante " ... ai sensi dell'art. 154, comma 1, lett. b) ed h) del Codice, ritiene che, a seguito della modifiche apportate al Codice dall'art. 40, secondo comma, del d.l. n. 201/2011, continui a trovare applicazione anche alle persone giuridiche, enti ed associazioni il capo 1 del titolo X del Codice, rectius le disposizioni ivi contenute che riguardano i "contraenti", a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni".

Riepilogando la posizione del Garante a seguito delle modifiche introdotte dall'art. 40 secondo comma del D.L. 201/2011, il Codice della Privacy non si applica alle persone giuridiche o associazioni, eccetto il capo I del Titolo X, che tratta delle comunicazioni elettroniche e dove particolarmente di interesse è l'art. 130 titolato "comunicazioni indesiderate".

Con tale provvedimento del Garante i diritti di cui all'art. 7 e seguenti del Cod. Privacy, che erano stati messi fuori dalla porta per le persone giuridiche e le associazioni, rientrano dalla finestra stante il tenore letterale dell'art. 130 comma 5 laddove si estrinseca la necessità di "fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7".

Secondo il comma 1 dell'art. 130

"... l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente".

Ed è chiaro che la norma si applica anche all'invio delle email stante il dettato del secondo comma secondo il quale

"La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo".

Tutto ciò per concludere che effettivamente era necessario il consenso del nostro "interessato" per l'invio delle email e che le esimenti dell'art. 24 invocate dal mittente non erano neppure applicabili stante che da un lato la normativa riguardante le comunicazioni indesiderate ha una sua specifica ("speciale") disciplina e dall'altro lato neppure applicabili al libero professionista in quanto probabilmente non persona fisica.

Si può considerare, pertanto, si sia effettivamente in presenza di una violazione dei dati personali.

Altra tematica, invece, è se tale violazione dia un immediato ed automatico diritto al risarcimento del danno. In proposito rilevante è il precedente della Corte di Cassazione 16133/2014 di cui si è parlato in questa rivista in questo articolo "Violazione dati personali e risarcimento del danno: Corte di Cassazione".

Se avesse letto attentamente tale precedente, molto probabilmente il nostro "interessato" avrebbe desistito da ogni azione giuridica. E' principio confermato anche dalla sentenza in commento quello secondo il quale la violazione dei diritti di cui all'art. 15 Cod. Privacy (ma più correttamente nel nostro caso dell'art. 130 in uno con l'art. 2043 c.c.) non comporta ex lege un diritto al risarcimento del danno, il quale ultimo dovrà essere valutato nella sua consistenza secondo la verifica della "gravità della lesione" e della "serietà del danno" (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del medesimo codice ma solo quella che ne offenda in modo sensibile la sua portata effettiva.

 

L'impugnativa: la sentenza da modo di esaminare anche la speciale disciplina dell'impugnativa della sentenza di primo grado: anteriormente alle modifiche del settmbre 2011 si prevedeva l'impugnativa per saltum direttamente in Corte di Cassazione. Ora, invece, il procedimento è disciplinato dall'art. Art. 10 del D.Lgs. n. 150 del 2011 titolato "Delle controversie in materia di applicazione delle disposizioni del codice in materia di protezione dei dati personali" secondo il quale "La sentenza che definisce il giudizio non e' appellabile ... ".

 

Nota dolente per il libero professionista "interessato" del nostro caso stante l'accoglimento da parte della Corte di Cassazione della domanda di condanna per responsabilità aggravata, a norma dell'art. 96 c.p.c., comma 3; secondo la Cassazione il ricorrente " ... ha percorso tutti i gradi di giudizio per un danno, indicato in Euro 360,00, ipotetico e futile, consistente al più in un modesto disagio o fastidio, senz'altro tollerabile ...".

Un messaggio a tutti gli spammatori: se usato con criterio lo spam illegittimo non da diritto all'interessato ad alcun risarcimento del danno.

 

------------------------------------

Di seguito il testo di
Corte Cassazione Civile Sentenza n. 3311 del 08/02/2017:

Commenta per primo

Vuoi Lasciare Un Commento?

Possono inserire commenti solo gli Utenti Registrati