L’avvento del GDPR, la nuova legge sulla privacy convergono nell’evidenziare il ruolo nevralgico che sta venendo riservato alla “Privacy”. A questo bisogna aggiungere la recentissima Legge sul telemarketing (volta a limitare la fastidiosa prassi commerciale delle telefonate promozionali) e anche alcune recenti pronunce del Garante sull’utilizzo delle e-mail marketing; in particolare, si portano all’attenzione del lettore il provvedimento n. 378 del 21 settembre 2017 e la newsletter del 29 novembre 2017.
Marketing via mail: i rischi
Secondo il Garante della Privacy “se un indirizzo e-mail è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari”.
Stigmatizzato l’invio di proposte commerciali via mail in assenza di esplicito consenso, resta da chiedersi a quali sanzioni si vada incontro con siffatta condotta.
Le violazioni delle norme che attualmente presiedono al trattamento dei dati in tema di email marketing sono sanzionabili sotto due profili: amministrativo e penale.
Per quanto riguarda gli aspetti civilistici della materia, il Codice della Privacy, all’art. 15, prevede che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile” e che “Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11” (del Codice della Privacy rubricato come: “Modalità del trattamento e requisiti dei dati”).
Ciò sta a significare che, in caso di trattamento “illecito” dei dati, la parte danneggiata ha diritto a chiedere ed ottenere un risarcimento anche per il danno non patrimoniale e che spetterà al Titolare dimostrare di aver adottato tutte le misure necessarie per evitare il verificarsi dell’offesa.
Quanto alle sanzioni amministrative, il primo adempimento che assume rilevanza è senza dubbio quello inerente alla stesura e sottoposizione agli utenti di una corretta informativa (disciplinata dall’art. 13 del Codice della privacy). L’articolo 161 del Codice Privacy infatti prevede che “La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro” (sanzione che sarà di gran lunga superiore in caso di violazioni massive).
Assume particolare rilievo anche il trattamento di dati senza consenso (v. art. 162 Codice Privacy e i richiami operati agli artt. 130 e 167 stesso codice).
In questi casi, la violazione è punita con il pagamento di una somma da diecimila euro a centoventimila euro.
Nel caso in cui, poi, si effettui la c.d. “profilazione” (intendendosi per “profilazione” l’attività di raccolta ed elaborazione dei dati inerenti agli utenti di servizi -pubblici o privati, richiesti o forzosi- per suddividere l’utenza in gruppi di comportamento. In ambito commerciale, la profilazione dell’utente è uno strumento del cosiddetto marketing mirato, che fa ampio uso di queste tecniche per ottenere accurate analisi dei potenziali clienti. Chiunque intenda effettuare “profilazione” è tenuto ad informarne il Garante della Privacy e ad ottenere la relativa autorizzazione), la mancata notifica al Garante comporta ulteriori sanzioni. (art. 163 Codice Privacy: “Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro”).
Non sono esenti da sanzione anche le violazioni sporadiche; infatti, viene sanzionata anche la condotta illecita posta in essere nei confronti di un solo utente (cfr art. 164 Codice Privacy).
Venendo ora alle sanzioni penali, preliminarmente va precisato che i reati previsti dal Codice della Privacy sono perseguibili d’ufficio. Ciò significa che il Garante può (anzi, deve) trasmettere all’Autorità competente le notizia di reato delle quali viene a conoscenza nel corso dello svolgimento delle proprie mansioni.
In riferimento all’email marketing le fattispecie più rilevanti sono, ad oggi, quelle previste dagli articoli 167 (trattamento illecito di dati con riferimento alle violazioni relative al consenso – artt. 23 e 130 del Codice Privacy -, nonché i trasferimenti di dati vietati), 168 (falsità nelle dichiarazioni e notificazioni al Garante) e 169 (rubricato “Misure di sicurezza”) del Codice Privacy.
L’articolo 167, in ipotesi di violazione degli articoli 23 e 130, prevede che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 23 e 130 (…), è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Anche i trasferimenti (di dati) vietati sono puniti ai sensi del secondo comma del medesimo articolo.
L’articolo 168 è rilevante solo nel caso in cui si proceda a “profilazione”: “Chiunque, nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni”.
L’articolo 169 Codice Privacy al primo comma stabilisce che “chiunque, essendovi tenuto, omette di adottare le misure minime (di sicurezza prescritte per il trattamento dei dati) previste dall’articolo 33 (e 31 del Codice Privacy) è punito con l’arresto sino a due anni”.
Il secondo comma, invece, introduce una procedura volta ad estinguere il reato: il Garante, in aggiunta alla sanzione amministrativa e non in sostituzione di essa, al solo scopo di consentire una rapida definizione della pendenza penale, può impartire una prescrizione (consistente in un invito diretto al responsabile del reato ad adottare determinate misure d’adeguamento) fissando un termine per l’adempimento.
Se l’autore del reato adempie, lo stesso viene ammesso a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa (n.b.: trattasi di procedura di oblazione penale che nulla c’entra con la sanzione amministrativa che verrà comunque irrogata).
L’adempimento delle prescrizioni impartite ed il pagamento della sanzione estinguono il reato.
Una sintesi
Riassumendo, non tutte le condotte sono punite a titolo sia di sanzione penale, sia di sanzione amministrativa; tuttavia, ove le fattispecie siano sanzionate sotto entrambi i profili, le sanzioni concorrono, senza dimenticare che, in ogni caso, permane il diritto a pretendere un risarcimento in capo all’utente destinatario delle email commerciali non autorizzate.
È evidente che un tale impianto sanzionatorio può portare già oggi a conseguenze assai gravose per qualunque attività d’impresa. L’adeguamento alla nuova normativa Privacy non è una semplice raccomandazione per le aziende, ma un vero e proprio dovere, certamente posto a tutela del cittadino/consumatore, ma anche in grado di rendere altamente competitiva l’imprenditoria italiana ed europea nel prossimo futuro.
