1. Introduzione

La Cassazione penale[1] ha recentemente rivisto la propria precedente interpretazione dell’art. 167 Codice Privacy novellato, di fatto limitando i casi in cui l’invio di comunicazioni marketing possa costituire reato e confermando anche da un punto di vista civilistico il meccanismo di valutazione per quantificare il risarcimento del danno derivante dalla condotta illecita appena descritta.

2. Elementi costitutivi del 167 Codice Privacy con particolare riferimento all’invio di comunicazioni commerciali

L’ art. 167 del Codice privacy novellato punisce chiunque, al fine di trarre per sé o per altri profitto o per arrecare danno all’interessato, in violazione tra gli altri, dell’art. 130 (sull’invio di comunicazioni indesiderate), arreca “nocumento” (ossia danno) all’interessato. Per poter integrare tale reato, anche dopo la riforma del Codice privacy  operata con il d. Igs. n. 101 del 10 agosto 2018 (art. 15 comma 1 lett. b), occorre inviare comunicazioni commerciali senza il consenso dell’interessato, al fine di trarre per sé o per altri un profitto o di recare un danno all’interessato. Il reato si connota pertanto come delitto a dolo specifico (così Cass. Pen. Sez. 3, n. 3683 del 11/12/2013, dep. 2014, Rv. 258492). Parimenti immutato è rimasto il richiamo alla necessità del verificarsi di un danno in capo all’interessato.

3. Il danno: il nuovo ago della bilancia della rilevanza penale della condotta di trattamento illecito di dati personali

La precedente giurisprudenza che si era formata in materia aveva da sempre interpretato il nocumento, o danno, come condizione obiettiva di punibilità, ossia quell’elemento esterno alla fattispecie che incide solo sulla punibilità della condotta: infatti il reato risultava punibile solo al ricorrere di un danno effettivo per l’interessato[2]. Ciò imponeva di interpretare la condotta in termini di pericolo concreto. Si leggeva: “il reato di trattamento illecito di dati personali, di cui all’art. 167 d.lg. n. 196/03, è un reato di pericolo effettivo e non meramente presunto; conseguentemente, la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento alla persona dell’interessato e/o del suo patrimonio. Il nocumento può essere non solo economico, ma anche più immediatamente personale, come, ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”.

Nella sentenza qui in commento, invece, la Suprema Corte afferma che “affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario”. Inoltre, la Corte ha avuto modo di precisare meglio che “il nocumento non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alla spedizione di una determinata tipologia di messaggi”[3].

È proprio da questo peculiare aspetto che si evince il cambiamento nell’impostazione giurisprudenziale, che dimostra di aver accolto un’interpretazione del nocumento quale elemento costitutivo della fattispecie tipica  in quanto occorre “una concreta lesione della sfera personale o patrimoniale, che, nell’ottica della fattispecie per cui si procede, deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti”[4]. Tale modifica interpretativa ha grande impatto in quanto ricade sia sulla sussistenza in sé della rilevanza penale della condotta (c’è il reato solo se c’è danno per ciascun interessato), sia sull’elemento soggettivo (la volontà di commettere un trattamento illecito deve coprire ora anche il danno all’interessato). In altre parole, oggi, secondo questo nuovo orientamento, per rispondere penalmente di trattamento illecito di dati personali, è richiesto al titolare del trattamento di agire nella coscienza e volontà di realizzare un trattamento illecito, ossia nella coscienza e volontà di inviare comunicazioni commerciali fuori dai presupposti di liceità di cui all’art. 130 del Codice privacy, non solo al fine di profitto, ma anche nella consapevolezza di determinare un danno all’interessato. E tale danno, come visto, non consiste più nel semplice fastidio di dover cancellare qualche e-mail indesiderata, ma è necessario un vero e proprio pregiudizio consistente nella ricezione di molte email indesiderate anche dopo una formale opposizione/revoca del consenso da parte dell’interessato.

Tale nuova interpretazione, a nostro avviso, riduce sensibilmente l’ambito di rilevanza penale della condotta perché la pubblica accusa dovrà dimostrare che ciascun soggetto che ha ricevuto comunicazioni indesiderate (inviate senza consenso e per profitto) ne ha subito un vero e proprio danno.

4. Riflessi in materia di risarcimento del danno

Per quanto riguarda i profili civilistici del risarcimento del danno derivante dalla violazione ovvero omissione delle misure volte a procurarsi il consenso dell’interessato, sia il Codice privacy (D.lgs. 193/2003), sia il GDPR (Reg. UE 679/2016) sanciscono il diritto ad ottenere il risarcimento del danno.

In alcune pronunce giurisprudenziali si leggeva però a proposito del risarcimento del danno, che esso è “in re ipsa”.[5] Ma chiariamone il significato perché l’espressione potrebbe non essere di immediata comprensione per gli operatori del mercato. Abbiamo appreso sopra che la natura del reato pare essere di danno e non più di pericolo, con le conseguenze sopra evidenziate. Ciò rafforza l’orientamento secondo il quale il danno (civilistico) non può essere considerato “in re ipsa”, ossia il risarcimento non può prescindere dalla verifica circa la sussistenza di un effettivo danno e dalla sua gravità, fermo restando che il risarcimento del danno civilistico può sorgere a prescindere dal fatto che la condotta integri o meno un reato. Se il danno fosse risarcito effettivamente in re ipsa vorrebbe dire che la condotta, per il semplice fatto di essere illecita, ossia posta in essere in violazione delle prescrizioni in materia di privacy, comporterebbe da sé sola un diritto al risarcimento, a prescindere dall’effettivo danno, dalla prova di esso, e dalla sua gravità.  Ciò significherebbe scardinare le coordinate ormai granitiche del risarcimento del danno non patrimoniale inaugurate con le Sezioni Unite San Martino nel 2008 (https://www.altalex.com/documents/news/2010/02/19/il-danno-esistenziale-esiste-la-posizione-delle-sezioni-unite) e consolidatesi a suon di numerose pronunce giurisprudenziali, anche a Sezioni Unite, che hanno invece affermato che non può essere risarcito il semplice disagio e fastidio, ma si deve valutare se la condotta illecita posta in essere violando il precetto legale abbia prodotto un danno serio e non futile (“danno conseguenza”), tanto da superare il filtro di gravità richiesto dall’art. 2 Cost. per accordarne il risarcimento (c.d. clausola bagatellare).

Ebbene, per essere risarcito il danno deve dunque derivare sì dalla violazione di una norma di legge, ma, accanto al “danno evento” (quello appena descritto) va vagliato il “danno conseguenza”. Ne deriva che il risarcimento non potrebbe sorgere dall’illecito trattamento in sé considerato, ma solo una volta verificata che vi sia (i) una lesione dell’interesse tutelato dalla norma legale, in questo caso i diritti fondamentali dell’individuo ex art. 2 e 21 Cost. e 8 CEDU quali la protezione dei dati personali tutelata, e (ii) che tale lesione sia grave e non tollerabile. L’illecito trattamento sarebbe dunque risarcibile sul piano civilistico, secondo costante giurisprudenza, ove questo cagioni disagi, sofferenze, ansie e preoccupazioni, che vanno tutte provate, anche mediante presunzioni semplici, dimostrando che esse superano una certa soglia di “tollerabilità” e dunque di gravità (ex plurimis, Cassazione civile sez. I, 08/01/2019, n.207).

Se le considerazioni sopra svolte possono in qualche modo “tranquillizzare”, non deve altrettanto tranquillizzare la circostanza che il trattamento dati è però riconducibile allo svolgimento di un’attività pericolosa, come da art. 2050 del Codice Civile. C’è quindi una presunzione di colpa in capo a colui che effettua il trattamento dei dati, e ciò implica che anziché essere il soggetto danneggiato a dover provare di avere subito un danno, sarà colui che ha effettuato il trattamento (presunto illecito) a dover vincere la presunzione che tale danno si è prodotto, fornendo la prova contraria (ad es. dimostrando di avere acquisito il consenso, o che esso non raggiunge una certa soglia di gravità e dunque sia “bagatellare”, “futile”). È bene però chiarire che la gravità non va letta necessariamente in termini quantitativi, nel senso che non mancano – a contrario – pronunce che accordano risarcimenti anche per un solo messaggio inviato in assenza del consenso del destinatario.

In conclusione, l’illecito trattamento dei dati pone due presunzioni: la prima data dalla struttura dell’art. 2050 c.c. ossia dalla presunzione di colpa in capo a chi ha trattato i dati personali, e la seconda secondo la quale le conseguenze non patrimoniali di tale danno si può presumere che si siano verificate a meno che il danneggiante non dimostri o di avere adottato tutte le misure idonee ad evitare il danno (nel caso dell’invio di comunicazioni commerciali, ad esempio, acquisire il consenso) oppure che l’ansia, lo stress, il turbamento non vi siano stati ovvero, anche se presenti, non sono stati “gravi” e si tratti quindi di conseguenze irrilevanti, cosiddette “bagatellari”, o che addirittura il danneggiato abbia comunque tratto vantaggio dal trattamento illecito dei propri dati (Tribunale di Siena 29.10.2018 n. 1244).

Non si esclude comunque che, in futuro, la giurisprudenza possa spingersi oltre, proprio in considerazione di numerose fattispecie di danni punitivi presenti nel nostro ordinamento, rispetto ai quali si concede il risarcimento non parametrandolo al danno subito dalla vittima ed alla sua gravità, ma al vantaggio conseguito dal danneggiante, addirittura anche in assenza di un danno per la vittima stessa, ciò con l’obiettivo di sanzionare colui che ha violato la norma, anziché risarcire colui che ha subito un danno. Sarebbe in tal caso evidente un cambio di prospettiva della natura della responsabilità civile, che da “riparatoria” diverrebbe “sanzionatoria”.