La normativa privacy ha sviluppi anche in ambito civilistico, in particolare in relazione allo spamming e più in generale allo scorretto trattamento dei dati per finalità marketing.
Vediamo cosa prevede la legge sul rapporto tra questa pratica e il trattamento dei dati e che cosa rischia chi sbaglia, non solo alla luce delle più note conseguenze previste dal GDPR e dal codice penale.
Indice degli argomenti
Privacy e marketing: la normativa di riferimento
I dati personali vengono richiesti e raccolti per finalità specifiche alle quali il trattamento deve strettamente attenersi, in modo pertinente e commisurato. Tra le varie attività inerenti i dati personali, è di stretta attualità il trattamento finalizzato al marketing, da intendersi, per quanto qui interessa, come tipologia di comunicazione commerciale diretta alla promozione di beni e servizi ai consumatori.
Nell’epoca in cui viviamo, inevitabilmente segnata da un inarrestabile progresso tecnologico e concettuale in tema di comunicazioni, i messaggi promozionali, così come i dati personali, circolano con estrema semplicità e immediatezza, raggiungendo indefiniti destinatari senza incontrare, sotto il profilo dell’attività in sé considerata, particolari limiti tecnici.
Tali caratteristiche sono proprie dello spam o spamming, una particolare modalità commerciale che consiste nell’invio di messaggi pubblicitari non sollecitati, ripetuti e ad alta frequenza; tale tecnica, per evidenti caratteristiche del mezzo, trova ampia applicazione nel canale della posta elettronica.
Detta tipologia di trattamento richiede di regola, fatte salve alcune eccezioni quivi non interessanti (soft spam e interesse legittimo del titolare nel marketing diretto), il preventivo consenso dell’interessato, quale condizione di liceità del trattamento stesso.
Ora, sia la disciplina precedente (Codice Privacy D.lgs. 193 del 2003), sia il GDPR (Regolamento UE 679 del 2016) sanciscono il diritto al risarcimento del danno, materiale e immateriale, derivante da violazioni della relativa normativa e dunque, per quanto ci occupa, dalla violazione ovvero omissione delle misure volte a procurarsi il consenso dell’interessato.
Conclusione alla quale si perviene, ad opinione dello scrivente, anche secondo i principi generali, laddove l’attività illecita, intesa come violazione di norme, prevede in automatico il risarcimento dell’eventuale pregiudizio cagionato. A parte dunque le gravi sanzioni amministrative e i profili penali notoriamente connessi alla materia, vi è, in questi termini, uno sviluppo civilistico della normativa privacy, nei termini che seguono.
Lo spamming non autorizzato
In presenza di spamming non autorizzato, vengono a delinearsi due posizioni: la prima, quella dell’interessato presunto danneggiato, sul quale grava l’onere di provare il fatto ed il relativo danno; la seconda, che riguarda il titolare del trattamento, con l’onere di provare di avere adottato le misure necessarie ad evitare il pregiudizio e/o, con particolare riferimento all’oggetto della presente disamina, di essere stato autorizzato al trattamento tramite l’acquisizione del consenso.
Il tutto, in un contesto di inversione dell’onere della prova, già contemplato nel Codice Privacy laddove, ai fini del risarcimento del danno derivante dal trattamento di dati personali, veniva espressamente richiamato l’art. 2050 cc; tale disposizione concerne la responsabilità per attività pericolose, categoria che implica una presunzione di colpa in capo all’esercente sul quale dunque grava l’onere di fornire cosiddetta prova liberatoria.
A ben vedere, tale inversione è parimenti autorizzata dal principio generale della vicinanza della prova, laddove l’interessato, a differenza del titolare del trattamento, versa nell’indisponibilità degli elementi necessari a provare, in concreto, l’illiceità dell’attività contestata; accertamento che peraltro, nella maggior parte dei casi, richiederebbe una prova negativa e dunque potenzialmente inammissibile.
D’altro canto, il titolare del trattamento, di regola un imprenditore, è in grado di reperire facilmente, nell’ambito della propria organizzazione, gli elementi utili a sancire la legittimità dell’attività espletata.
Detto ciò, l’interessato, presunto danneggiato, deve provare la propria posizione di destinatario di spam, producendo copia fotostatica o digitale delle comunicazioni commerciali ricevute; si ritiene che tali comunicazioni, ai fini strettamente civilistici della prova del danno, debbano sussistere in numero ragguardevole, per quanto non manchino pronunce di accertamento e condanna anche per l’ipotesi di un solo messaggio.
L’esistenza di svariate comunicazioni è tuttavia prezioso indicatore dell’esistenza del pregiudizio, rappresentato, secondo la giurisprudenza, dal tempo perduto per la visualizzazione e cancellazione dei messaggi, dall’interferenza nella sfera privata e dalla tensione che ciò induce, dall’interruzione delle normali abitudini vita e dell’alterazione della serenità necessaria per l’adempimento delle normali attività, anche di carattere lavorativo.
L’acquisizione del consenso secondo la legge
Sull’altro versante, il titolare del trattamento convenuto in giudizio deve provare l’acquisizione del consenso nei modi previsti dalla normativa.
Nessun problema allorché la prova sia costituita da un supporto cartaceo sottoscritto dall’interessato, caso in cui è sufficiente l’allegazione del documento contenente il consenso.
Maggiori difficoltà si pongono, invece, nell’ipotesi, maggioritaria, di consenso prestato tramite procedura automatica su portale web. In questi casi, infatti, l’assenso prestato viene registrato digitalmente e annotato su pagine informatiche sulle quali viene, di regola, visualizzato all’interno di tabelle: di fianco al nominativo della persona interessata, si annota con un “sì” o un “no” la sussistenza o meno dei vari consensi.
Va da sé l’insufficienza di una siffatta rappresentazione grafica in quanto sfornita della sottoscrizione autografa dell’interessato e dunque facilmente contestabile; può soccorrere, in questi casi, unitamente al numero di IP da cui l’interessato ha effettuato il collegamento, la prova testimoniale prestata da soggetti a conoscenza della procedura digitale impiegata dal sito, nell’ottica di fornire adeguata spiegazione ai documenti ed alla modalità con cui questi vanno a compilarsi in relazione all’avvenuta o meno prestazione del consenso.
Inoltre è necessario fornire evidenza della conformità della stessa modalità di “procacciamento” del consenso il quale, sempre preceduto da informativa dettagliata sulle singole modalità di trattamento, deve essere chiaro, espresso, separato e proposto in modo semplice, chiaro e comprensibile.
In caso di acquisizione cartacea è sufficiente versare in atti la semplice riproduzione del modulo compilato e debitamente sottoscritto; per quanto concerne, invece, l’acquisizione digitale, è opportuna la produzione delle schermate contenenti la rappresentazione grafica della procedura telematica di acquisizione, dall’informativa al formulario del consenso con le relative caselle per l’apposizione del “flag” che, si ricorda, devono essere due, una per l’assenso ed una per il dissenso, e non precompilate.
Anche in quest’ultimo caso è auspicabile l’intervento, nella fase istruttoria, di un testimone per confermare e descrivere le varie schermate e illustrare la procedura stessa, eventualmente, previo assenso del giudice, anche con dimostrazione pratica simulata tramite notebook.
Sono molti i casi analoghi finiti al vaglio delle corti e definiti con sentenze di condanna. Il rischio, come spesso accade, è che proliferino richieste risarcitorie non effettivamente sancite da danni concreti ma tuttavia, per le ragioni esposte, suscettibili di accoglimento.
Scenario, ad avviso dello scrivente, deprecabile in quanto orientato nel senso di un risarcimento del danno di tipo punitivo più che riparatorio.
