Contenuto originariamente pubblicato all'URL: http://www.penale.it/commenti/blengino_senor_01.htm
Con un recente comunicato stampa titolato “ Lo spamming a fini di profitto è un reato " [1] , a cui i mezzi di comunicazione hanno dato grande risalto, il Garante per la protezione dei dati personali ha confermato la propria interpretazione istituzionale in materia, già espressa con precedente parere del 29 maggio 2003 [2] .
In tale provvedimento generale il Garante, dopo alcune considerazioni certamente condivisibili di carattere socio-comportamentali ed economico, svolge una serie di argomentazioni giuridiche da cui trae la convinzione che l'invio di messaggi per finalità promozionali e pubblicitarie a mezzo posta elettronica senza il preventivo consenso informato del destinatario integri il reato di cui all'art.35, legge 31 dicembre 1996, n.675 [3] (trattamento illecito di dati personali)
Tale conclusione suscita non poche perplessità.
In realtà, sino ad oggi gli uffici della Procura della Repubblica hanno conosciuto lo spamming unicamente quale tecnica di hacking , costituita dall'invio di un elevato numero di comunicazioni ad un determinato server così da provocare la saturazione delle risorse del sistema oggetto di attacco (c.d. denial of service ).
Se in futuro anche l'invio di posta elettronica non desiderata interesserà gli uffici del Pubblico Ministero sarà, crediamo, unicamente dal 1°gennaio 2004, a seguito dell' entrata in vigore del decreto legislativo 30 giugno 2003, n.196 [4] .
Com'è noto il predetto provvedimento, nell'introdurre il “Codice in materia di protezione dei dati personali” in attuazione della direttiva n.2002/58/CE [5] , all'art.130 disciplina espressamente le comunicazioni indesiderate mediante posta elettronica accogliendo il cosiddetto principio dell' opt-in [6] .
Il nuovo reato di trattamento illecito di dati previsto dall'167, d. l.vo 196/03, contiene nel precetto espresso richiamo alla disposizione di cui all'art.130 e dunque, almeno apparentemente, con l'entrata in vigore del nuovo codice non dovrebbero esservi dubbi circa la rilevanza penale dell'invio di posta elettronica a fini pubblicitari o commerciali senza il consenso del destinatario.
Tuttavia, poiché l'art.186 del d. l.vo 196/03 indica quale data di entrata in vigore del codice il 1° gennaio 2004, appare evidente come ogni considerazione giuridica debba tenere ben distinti lo stato attuale della legislazione vigente dalle imminenti modifiche normative.
Il parere del Garante che ravvisa nell'invio di posta elettronica indesiderata a fini di profitto una condotta penalmente sanzionabile ai sensi dell'art. 35, l. 675/96, non trova oggi adeguato riscontro normativo e si traduce in un interpretazione inaccettabile in sede penale perché in contrasto con i principi costituzionali della riserva di legge, di tassatività e di conseguente divieto di interpretazione analogica.
In sintesi il pensiero del Garante pare così riassumibile:
- gli indirizzi di posta elettronica “ recano dati di carattere personale da trattare nel rispetto della normativa in materia ”;
- il trattamento degli stessi deve pertanto essere conforme a quanto disposto dall'art.11, l. 675/96;
- non può trovare applicazione l'esimente dal consenso preventivo di cui all'art.12, comma 1, lett.c), l. 675/96, in quanto non si tratta di dati considerabili provenienti da pubblici registri;
- il trattamento effettuato senza il consenso espresso del destinatario del messaggio deve dunque ritenersi illecito poiché effettuato in violazione del disposto di cui all'art.11, comma 1 e dunque sanzionabile penalmente ex art. 35, l.675/96.
In virtù di tale procedimento logico l'Autorità per la protezione dei dati personali trae la conclusione che già il legislatore italiano del ‘96 avesse adottato per il trattamento di indirizzi di posta elettronica il principio dell' opt-in . Per sostenere e corroborare tale tesi il Garante cerca riscontri ermeneutici in diverse normative recentemente emanate in attuazione di varie direttive in materie analoghe ed affini.
In particolare, viene fatto riferimento al decreto legislativo 13 maggio 1998, n.171 [7] , in materia di telecomunicazioni, nella parte in cui all'art. 10 introduce senza ombra di dubbio il principio dell' opt-in per le chiamate indesiderate effettuate a mezzo telefono senza operatore o fax per scopi di invio di materiale pubblicitario, nonché al decreto legislativo 22 maggio 1999, n.185 [8] , in materia di contratti a distanza, laddove prescrive la necessità del consenso preventivo del consumatore nell'impiego di talune tecniche di comunicazione tra cui la posta elettronica.
In ultimo, a fronte della recente scelta legislativa a favore dell' opt-out contenuta nel decreto legislativo 9 aprile 2003, n.70 [9] , il Garante, quasi a volerne trarre argomentazione a contrario , si premura di ribadire l'inapplicabilità della normativa agli aspetti relativi alla protezione dei dati personali citando quanto disposto dall'art.1, comma 2, lett.b), del decreto delegato.
L'intera argomentazione interpretativa del Garante, chiara quanto alle finalità proprie dell'Autorità, non ponendosi certo quale fonte normativa in grado di modificare la tipicità delle fattispecie penalmente rilevanti, risulta errata e censurabile.
Il trattamento illecito di dati costituente reato è oggi, per quanto in questa sede rileva, solo ed esclusivamente quello effettuato in violazione del disposto dell'art.11, l. 675/96, salvo l'applicazione di una delle esimenti dal consenso previste dal successivo art.12.
Preso atto che gli indirizzi di posta elettronica contengono dati personali, il Garante analizza quale possibile caso di esclusione del consenso unicamente l'ipotesi di cui alla lett.c) dell'art.12, l. 675/96 [10] , omettendo qualsivoglia cenno alle altre esimenti previste da tale ultima norma.
Tuttavia, incentrare l'oggetto della controversia relativamente all'esclusione del consenso informato preventivo in tema di posta elettronica indesiderata sull'art.12, comma 1, lett.c), l.675/96 è oltremodo riduttivo.
In realtà, l'art.12, comma 1, l.675/96, alla lettera f), prevede una espressa esclusione dal consenso preventivo quando il trattamento riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell'art.13, comma 1, lett.e), ovverosia ai fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva.
Tale dato normativo è difficilmente superabile.
Il trattamento di indirizzi di posta elettronica posto in essere in relazione allo svolgimento di attività economiche a fini commerciali e di invio di materiale pubblicitario è un'ipotesi espressamente prevista di esclusione dalla necessità di consenso preventivo previsto in via generale dall'art.11, l. 675/96.
E ciò, quanto meno, di qui al 31 dicembre 2003.
A fronte di tale esplicita previsione di esclusione del consenso, sarebbe davvero arduo per il Giudice penale sostenere che il legislatore del ‘96 avesse già introdotto il principio dell' opt-in , come affermato dal Garante, e dunque valutare l'invio di messaggi indesiderati a fini pubblicitari nell'ambito di un'attività commerciale come trattamento illecito effettuato in violazione dell'art.11 con conseguente integrazione del delitto di cui all'art.35, l. 675/96.
La rilevanza del disposto di cui alla lett.f) dell'art. 12 in relazione al c.d. “ spamming ” trova conferma nella nuova formulazione della norma, confluita nell'art.24 del Codice in materia di protezione dei dati personali che non prevede più in relazione al trattamento di dati finalizzati allo svolgimento di attività economiche, l'inciso relativo a scopi promozionali e pubblicitari.
Tale riscontro, in uno con l'introduzione nel novello d. l.vo 196/03 di una specifica disciplina in materia di comunicazioni indesiderate basata sul principio del consenso preventivo (cfr., art.130), consentono di affermare che solo a partire dal 1° gennaio 2004 nel nostro ordinamento troverà applicazione in materia di “ spamming ” il c.d. principio dell' opt-in la cui violazione integrerà per espressa previsione legislativa responsabilità penali.
Invero, proprio in relazione al crescente e pregnante fenomeno dell'invio di e-mail indesiderate, sin dall'entrata in vigore della l. 675/96 vi è stata contrapposizione tra i fautori dell' opt-in e quelli dell' opt-out [11] .
Al di là di considerazioni di natura politico-economica e sociale, il dato normativo sotto un profilo strettamente penalistico non ha mai consentito, né consente oggi, di poter sostenere altro che la tesi dell' opt-out e ogni riferimento alle successive normative in materie analoghe od affini si tradurrebbe in una interpretazione che, oltre a contrastare con il dato letterale della norma, rappresenterebbe un'interpretazione analogica, per di più in malam partem .
D'altra parte, neppure i vari provvedimenti legislativi citati dal Garante a conforto della sua tesi paiono comunque fornire una netta posizione a favore dell' opt-in .
Infatti, dei due decreti richiamati dal Garante l'uno, il d. l.vo 178/98, all'art.10, comma 1, introduce senza ombra di dubbio il principio dell' opt-in per le chiamate indesiderate effettuate a mezzo fax o telefono per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione interattiva, ma al secondo comma stabilisce che le chiamate eseguite per le stesse finalità con mezzi diversi da quelli indicati sono consentite ai sensi degli art.11 e 12, l. 675/96, in tal modo legittimando, in deroga a quanto sancito dal primo comma, l'invio di messaggi promozionali e/o pubblicitari a mezzo di posta elettronica.
L'altro, l'art.10, d. l.vo 185/99, prescrivendo la necessità del consenso preventivo del consumatore anche per l'invio di comunicazioni a mezzo posta elettronica, compie sicuramente una scelta a favore dell' opt-in . Tuttavia, alla disciplina introdotta dal d. l.vo 185/99 si contrappone oggi il d. l.vo 70/03 che, sempre in materia di commercio elettronico, all'art.9, individua una soluzione di opt-out .
Proprio in ragione del predetto contrasto il Garante sottolinea più volte l'inapplicabilità del d. l.vo 70/03 alle questioni relative al diritto alla riservatezza, per espresso disposto dell'art.1, comma2, lett.b), omettendo però di esplicitare che tale riserva riguarda sì il diritto alla riservatezza, ma solo “ con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni ”.
Pare infine doveroso osservare come neppure il richiamo del Garante alla direttiva 58/2002/CE, come ultimo e definitivo provvedimento legislativo europeo a favore dell' opt-in , sia del tutto corretto.
Tale direttiva, infatti, sebbene all'art.13, comma 1, preveda che l'uso di sistemi automatizzati di chiamata senza intervento di un operatore, del telefax o della posta elettronica ai fini di commercializzazione diretta sia consentito solo nei confronti degli abbonati che abbiano “espresso preliminarmente il loro consenso”, al comma 2 introduce una prima eccezione (e dunque il ricorso all' opt-out ) con riferimento all'invio di materiale pubblicitario e promozionale da parte del titolare del trattamento verso la propria clientela interna, mentre al terzo comma lascia alla discrezionalità dei singoli legislatori interni la scelta tra i due principi nelle ipotesi di commercializzazione diretta per casi diversi da quelli esaminati nei commi 1 e 2, nonché per la regolamentazione delle comunicazioni indesiderate ricevute da persone giuridiche.
Poiché l'art.13, comma 2, della direttiva 58/02 è stato recepito nel nostro ordinamento interno, senza alcuna modifica, nell'art.130, comma 4, d. l.vo 196/03, non solo oggi, ma anche a partire dal 1° gennaio 2004 non potrà affermarsi in modo tranchant che il principio del consenso espresso preventivo sia l'unico pienamente operante nel nostro sistema giuridico.
Lo spamming , come inteso dal Garante nel suo parere del 29 maggio 2003, non è dunque oggi un reato ed invero anche dopo l'entrata in vigore del d. l.vo 196/03 dovranno esser spese non poche argomentazioni per individuare i limiti e le condotte penalmente sanzionabili.
Il comunicato stampa dell'Autorita per la protezione dei dati personali ha probabilmente sortito il benefico effetto di rallentare una pratica senza dubbio molesta per l'utente, ma ciò non toglie che l'informazione divulgata non sia allo stato giuridicamente fondata ed abbia creato false aspettative: i numerosi cittadini che si rivolgeranno all'Autorità giudiziaria penale (verosimilmente mediante denuncia agli uffici della Polizia postale) sulla scorta di quanto appreso dai giornali ben difficilmente otterranno la pretesa tutela dei loro diritti.
- Carlo Blengino, Monica Alessia Senor - ottobre 2003
(riproduzione riservata)
[1] Cfr., comunicato stampa 3 settembre 2003, in www.garanteprivacy.it.
[2] Cfr., parere 29 maggio 2003, in www.garanteprivacy.it.
[5] Pubblicata in G.U.C.E., n. L 201, 31 luglio 2002.
[6] Con tale locuzione si intende, in estrema sintesi, la necessità del consenso preventivo espresso dell'interessato al fine di legittimare il trattamento dei dati; ad esso si contrappone il principio c.d. dell' opt-out in cui il trattamento viene invece considerato di per sè lecito salvo il diritto dell'interessato di opporsi al trattamento stesso.
[10] Il Garante aveva gia espresso in un provvedimento dell'8 febbraio 2001 la propria opinione, peraltro pienamente condivisibile, secondo cui l'esclusione dal consenso di cui all'art.12, comma 1, lett.c), si riferisce ai soli dati personali sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque e che dunque la raccolta di indirizzi di posta elettronica in uno spazio pubblico di internet (ad esempio attraverso la partecipazione a forum o newsgroup ) non può considerarsi legittima.
[11] In realtà, l'oscillazione tra i due principi altro non è che l'eco della contrapposizione, a livello europeo, di due distinte scuole di pensiero, l'una maggiormente orientata per storica tradizione verso il liberismo economico e dunque favorevole all'opt-out (Regno Unito) e l'altra più attenta alla tutela della riservatezza del singolo consumatore (Germania, Danimarca).
