Il Decreto legge del 14 agosto 2013, n. 93 recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” contiene, tra le sue pieghe, importanti modifiche alla disciplina della responsabilità da reato degli enti. Il Governo Letta, purtroppo, non si è affrancato dalla cattiva abitudine di introdurre, nel medesimo decreto legge, norme regolanti materie disparate e spesso carenti dei requisiti di necessità e urgenza. Così, il c.d. “decreto sul femminicidio” contiene disinvoltamente norme sull’illegittimo trattamento dei dati e sull’abuso dei mezzi di pagamento con carta.
Le norme introdotte sono destinate, se confermate in sede di conversione, ad avere un significativo impatto sulla vita delle imprese, poiché aggiungono al novero di reati di cui al D.Lgs. 231/01 fattispecie che presentano un alto rischio tipico per l’impresa.
Infatti, il decreto legge ha previsto l’estensione della responsabilità amministrativa degli enti ai delitti di cui agli articoli 640 ter cod.pen., 55 comma 9 d.lgs. 231/2007 ed ai delitti di cui alla Parte III, titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196 (“Codice della Privacy”): si tratta rispettivamente dei reati di (1) frode informativa con sostituzione d’identità digitale, (2) di utilizzo indebito, falsificazione o alterazione di carte di credito o pagamento, (3) trattamento illecito di dati, nonché (4) di false dichiarazioni o inosservanza dei provvedimento del Garante della Privacy.
Appare evidente che, almeno l’estensione della responsabilità degli enti al reato di trattamento illecito di dati è una novità legislativa particolarmente importante soprattutto per le imprese che promuovano i propri servizi online o tramite sollecitazione mail e comporta la necessità di mettere a punto procedure rigorose e controlli adeguati.
Va ricordata, in particolare, la disciplina prevista dall’art. 167 Codice Privacy che punisce chiunque, al fine di trarne profitto o di recare ad altri un danno, procede al trattamento illegittimo di dati personali se dal fatto deriva nocumento ovvero se il fatto consiste nella comunicazione o diffusione. La giurisprudenza di legittimità, pur sottolineando che il trattamento illecito di dati è una fattispecie a pericolo concreto (e che, pertanto, vi debba essere una effettiva messa in pericolo del bene giuridico tutelato), ha interpretato in modo molto estensivo il concetto di nocumento, ritenendo che lo stesso possa essere non solo economico, “ma anche più immediatamente personale, come, ad esempio la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori rinvii” (così Cass. Pen. Sez. III sentenza del 24 maggio 2012, n.23798).
Al fine di chiarire l’ambito oggettivo dell’art. 167 Cod.Privacy è utile ricordare la definizione legislativa di dato personale. Il legislatore infatti, con l’art. 40 d.l. 201 del 6 dicembre 2011 ha ridefinito la nozione di “dato personale” intervenendo sulle disposizioni generali del Codice della privacy: oggi per “dato personale” deve intendersi qualunque informazione relativa a persona fisica e per “interessato” deve intendersi “la persona fisica cui si riferiscono i dati personali”.
Pertanto, in corretta applicazione del principio di legalità e tassatività delle fattispecie penali, non si può condividere l’opinione espressa dal Garante nel provvedimento in ordine all’applicabilità alle persone giuridiche del Codice privacy (Provv. Del 20 settembre 2012 pubblicato in G.U. 268 del 16 novembre 2012 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2094932), il quale ha ritenuto che anche l’illecito trattamento dei dati delle persone giuridiche, se avvenuto in violazione dell’art. 130 Cod.Privacy, possa integrare il delitto in questione. Ove, però, si consolidi l’orientamento giurisprudenziale sopra indicato, ne potrebbe derivare che ogni sollecitazione alla mail di persone fisiche non previamente autorizzata ed effettuata per ragioni commerciali potrebbe ricadere nella definizione consegnata dall’art. 167 Codice Privacy.
Val la pena, pertanto, riportare l’attenzione ai molteplici documenti emessi dal Garante della privacy in tema di spamming per ricordare alcune importanti regole da seguire. In particolare un utile riferimento sono le linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 recentemente pubblicate (G.U. n. 174 del 26 luglio 2013).
Elemento cardine della disciplina è l’art. 13 codice privacy: l’attività promozionale è subordinata alla raccolta di un preventivo consenso da parte dell’interessato che deve essere libero ed informato. Senza un consenso preventivo non è possibile inviare email promozionali come chiarito ormai da tempo dal Garante (v. provvedimento del 29 maggio 2003).
Il consenso può intendersi reso in modo libero se non è preimpostato o condizionato alla fornitura di servizi che con il trattamento non abbiano alcun collegamento funzionale. Inoltre, il consenso deve essere specifico per ciascuna eventuale finalità perseguita. Il Garante ha ritenuto che, in un’ottica di semplificazione, un unico consenso può essere acquisito con riferimento sia all’esercizio dell’attività tradizionale di promozione che all’attività di promozione tramite sistemi automatizzati ai sensi dell’art. 130 Cod. Privacy. In questo caso, tuttavia, l’informativa dovrà specificare che la raccolta dei dati è finalizzata ad ambedue le modalità di promozione.
Per quanto riguarda la cessione dei dati a terzi e, quindi, l’utilizzo di database creati da altri soggetti, il Garante ha specificato che l’informativa dovrà indicare chiaramente che la raccolta dei dati personali è finalizzata alla cessione dei dati a terzi che dovranno essere indicati nominativamente o con riferimento alla categoria merceologica o economica di appartenenza. Il consenso così raccolto sgombra il campo al trattamento dei dati ai terzi acquirenti senza bisogno di un ulteriore autorizzazione. Va in ogni caso sottolineata la necessità che la promozione o sollecitazione pubblicitaria indichi un idoneo indirizzo dove l’interessato possa esercitare i diritti di rettifica e veto disposti dall’art. 7 Cod. Privacy, che deve potere essere esercitato nella stessa forma in cui viene effettuata la promozione: per cui una sollecitazione effettuata a mezzo mail dovrà indicare un indirizzo di posta elettronica dove esercitare i diritti di cui all’art. 7.
Come noto, il consenso ove non riguardi dati sensibili, non necessita di forma scritta ma comunque onera il responsabile del trattamento del dovere di provare quando e come il consenso è stato raccolto. Un alleggerimento degli oneri previsti dal Codice privacy viene assicurata dall’art. 130 Cod.Privacy che consente il c.d. “soft spam” cioè la promozione di servizi analoghi o collegati a prestazioni di cui l’interessato abbia già usufruito, in assenza di specifica autorizzazione.
Un aspetto cui, invece, si dovrà prestare particolare attenzione è la regolamentazione delle promozioni effettuate a mezzo di agenti commerciali. Può infatti accadere che il trattamento illecito sia commesso da agenti ma nell’interesse del preponente. In questa ipotesi, l’individuazione del responsabile del trattamento dovrà prendere in considerazione una serie di elementi extracontrattuali come il controllo esercitato dal preponente o la rappresentazione data ai terzi circa la prestazione dei servizi. Il Garante ha già in diverse occasioni ritenuto che il responsabile del trattamento fosse il preponente ogni qualvolta questi abbia esercitato un potere di controllo anche in virtù della subordinazione economica dell’agente. L’aspetto appare evidentemente delicato e dovrà essere affrontato con attenzione per non incorrere nelle sanzioni di cui al D.Lgs. 231/01. Il Garante ha chiarito che il preponente debba in ogni caso nominare come responsabile del trattamento l’agente ed accertarsi se questi faccia uso di subagenti o incaricati garantendo che anche questi ultimi utilizzino correttamente i dati raccolti.