SULLA RESPONSABILITA’ DA SPAMMING

avv. Rosario Beninato

L’evoluzione tecnologica ed il costante aumento delle potenzialità del web, unitamente ai vantaggi immensi che oggi offre l’ultilizzo di internet comportano inevitabilmente una serie di problematiche che si ripercuotono sulla sfera della riservatezza e della dignità personale del cittadino.

Il fenomeno dello spamming ha sicuramente un ruolo determinante nella lesione della riservatezza degli utenti di internet, atteso che, se si tiene conto che il totale dei messaggi scambiati nella rete si attestava già nel 2007 su dieci miliardi di messaggi l’anno e che il 65% – 90% contiene spam o malware[1], si può ricavare una dimensione sufficientemente attendibile del fenomeno.

Preliminarmente, occorre chiarire che con il termine “danno da spamming” si intende comunemente il danno derivante da comunicazione elettronica a carattere commerciale non sollecitata.

Detta definizione trova una disciplina puntuale a livello comunitario nella Direttiva sul commercio elettronico 2000/31/CE recepita con D. Lgs. n. 70/2003 e nella Direttiva 2002/58/CE[2] relativa alle comunicazioni elettroniche nella sfera privata.

Le aziende sempre più diffusamente esercitano la pratica di promuovere i propri prodotti e servizi cercando nuovi clienti, purtroppo a scapito della riservatezza degli utenti internet, effettuando così comunicazioni indesiderate verso elenchi di email per i quali non si è ottenuto un preventivo consenso.

Come ben noto, la ricezione di email, nei casi di navigazione internet con rete analogica, causa un costo telefonico aggiuntivo, oltre al rallentamento e/o intasamento delle principali funzioni della casella di posta.

Spesso accade, infatti, che importanti email di lavoro possano essere rese temporaneamente inutilizzabili e che si possa consultarle solo dopo aver liberato la casella elettronica.

In alcuni casi, addirittura, si possono verificare danni irreversibili ed ingenti (disdetta di appuntamenti importanti o inviti ad eventi pubblici).

La stessa ricezione di email può causare, comunque, danni ingenti anche se si utilizzano tipologie di connessione digitale come ADSL, HDSL.

Così inquadrato, sia pure succintamente, il concetto di spamming, al fine di ogni più idonea predisposizione degli strumenti giuridici finalizzati alla richiesta di risarcimento dei conseguenti danni, occorre, innanzitutto, risolvere il delicato problema della legittimazione passiva dell’autore del danno, in altri termini, bisogna sapere come si può rintracciare l’autore dello spamming.

Generalmente, quando si riceve un messaggio non sollecitato, si può tentare semplicemente di mandare un avvertimento al suo mittente e può accadere che l’autore dello spamming risponda.

In detta ipotesi, l’utente dispone di tutti gli elementi per far interrompere lo spamming e per richiedere eventualmente il risarcimento del danno subito.

Tuttavia, come mostrano le numerose indagini condotte da esperti investigatori sul tracciamento delle email, in molti casi lo spamming è opera di utenti esperti di internet che camuffano l’identità, facendo in modo di non essere rintracciabili tramite un’accurata scelta della collocazione geografica fuori dalla Stato in cui si commette l’illecito.

Concretamente, quando le email vengono inviate dal mail client del mittente al mail client del destinatario passano attraverso il pc, generalmente server (server SMTP di invio e server POP di ricezione), lasciando dei dati o tracce su ciascuno di loro.

I principali problemi nel tracciare lo spam, vanno dall’acquisizione dell’IP del mittente all’effettiva identità dello stesso.

Se lo spammer ha operato tramite una postazione collocata in Italia, i problemi sono limitati ad acquisire l’IP (Internet Protocol), data e ora relativa alla connessione dello spammer in Italia, ossia interpretando l’header ed analizzando gli elementi più significativi degli header come le parti di testo che seguono i “received”, sarà possibile acquisire l’indirizzo IP, data e ora, etc., dell’email invasiva.

Una volta che si risale all’IP, è necessario verificare se a questo IP corrisponde il mittente oppure potrebbe essere l’indirizzo di un server dietro il quale si cela lo stesso spammer.

Purtroppo, in diversi casi, il provider si trova spesso all’estero ed anche fuori dall’Unione Europea, circostanza questa che crea problemi giudiziali difficilmente risolvibili anche denunciando il fatto alle autorità competenti.

Con riferimento alla risarcibilità del danno, sotto la previgente disciplina, si ponevano dubbi interpretativi in ordine all’art. 18, L. 675/96, in base al quale “chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 codice civile…”.

Detto articolo, in combinato disposto con l’art. 29, co. 9, estendeva la risarcibilità anche ai danni non patrimoniali, prevedendo espressamente, infatti, che… “…il danno non patrimoniale è risarcibile anche nei casi di violazione dell’art. 9 ”.

Con riguardo all’art. 18, in dottrina venivano sollevati dubbi interpretativi, in primo luogo con riguardo alla compatibilità con la clausola generale l’art. 2043 c.c..

La disposizione sulla privacy aveva carattere speciale rispetto alla clausola generale contenuta nel Codice, di qui le mosse per affermare in base al principio di specialità la sola applicabilità dell’art. 18 relativo al trattamento dei dati personali.

In secondo luogo, venivano sollevati dubbi sulla risarcibilità dei danni non patrimoniali che, notoriamente, erano risarcibili solo ex art. 2059 c.c..

Prima dell’entrata in vigore del Codice della Privacy, la giurisprudenza di merito, non certo copiosa in materia di risarcimento per trattamento illegittimo dei dati personali, si era espressa tramite due sentenze del Giudice di Pace di Napoli del 2004, considerando applicabile l’art. 2043 c.c.[3].

Detta valutazione in termini di responsabilità extracontrattuale pura comportava seri problemi da parte di chi intendeva promuovere un giudizio, sia in relazione all’onere della prova, atteso che risultava necessario comprovare il danno subìto dallo spamming, l’imprescindibile nesso causale tra azione dolosa o colposa e danno subito, sia sotto il profilo soggettivo, quindi, in relazione alla sussistenza della colpa o dolo da parte dello spammer.

Oggi, il regime di responsabilità per danno da spamming è cambiato con l’entrata in vigore del C.d.P. che inquadra la problematica in termini di trattamento dei dati personali.

L’articolo 11 C.d.P. stabilisce dei parametri per il trattamento dei dati personali, tra questi di fondamentale importanza sono: la liceità, la correttezza, necessità e pertinenza riferite alle finalità del trattamento.

La definizione di trattamento che viene fornita dal Codice della Privacy è alquanto ampia ed include una serie di operazioni che possono essere compiute sui dati personali, tale trattamento ha sempre delle finalità che possono andare dalla fornitura di beni o servizi, alla gestione del personale etc..

La questione di fondamentale importanza è che tali finalità, che devono essere esposte mediante un’informativa specifica all’interessato a cui i dati si riferiscono, devono essere rispettate.

In genere, comunicazioni o diffusioni abusive si possono verificare quando una società trasferisce ad altre i dati anagrafici e recapiti dei propri clienti per effettuare del marketing indiretto, ovvero cosa molto diffusa, si conservano dati per un tempo eccessivo rispetto a quanto necessario per l’espletamento della prestazione contrattuale.

Più nello specifico, l’art. 11 C.d.P. in combinato disposto con l’art. 15 C.d.P., conferma il principio di equiparazione del trattamento dei dati all’attività pericolosa, rendendo applicabile l’art. 2050 c.c..

In sostanza si ritiene che il trattamento dei dati personali sia un’attività che per sua natura implica un’alta percentuale di danni e poichè la pericolosità è stabilita ope legis, al giudice è sottratta la valutazione sul “se” l’attività sia pericolosa o meno[4].

Il secondo comma dell’art. 15 inserisce un’ulteriore aggravio per l’autore del trattamento illegittimo disponendo espressamente che “il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11…”.

Con tale disposizione si apre così la via alla risarcibilità del danno anche solo non patrimoniale, svincolando definitivamente tale tipo di danno sia dall’art. 2059 c.c., sia dall’ingiustizia del danno, così come contemplato dall’art. 2043 c.c..

L’art. 15 C.d.P., infatti, riconduce direttamente il trattamento illegittimo  dei dati personali all’attività pericolosa, con evidenti vantaggi di carattere sostanziale e processuali in ordine all’onere probatorio.

Appare di tutta evidenza, infatti che se si riconduce la responsabilità civile dello spammer nell’ambito della responsabilità oggettiva ex art. 2050 c.c., sul soggetto che agisce in giudizio graverebbe soltanto l’onere di dimostrare i danni subiti (che potrebbero essere di natura non patrimoniale) e il nesso di causalità fra il danno subito e l’azione dello spammer.

Chi agisca in giudizio per il risarcimento di danni legati allo svolgimento di attività pericolose è esonerato dalla prova dell’elemento psicologico dell’illecito (dolo o colpa), incombendo invece sul danneggiante l’onere di dimostrare di aver adottato tutte le misure idonee ad evitare il danno.

Tale ricostruzione appare maggiormente convincente, anche in considerazione del fatto che lo svolgimento di un’attività di trattamento di dati personali (qual è, per l’appunto, l’attività di e-mail spamming) è considerata dal C.d.P. un’attività pericolosa,  in considerazione del rinvio, contenuto nell’art. 15 D. Lgs. n. 196/2003 all’art. 2050 c.c..

Le più recenti pronunce del Garante per la protezione dei dati personali[5] recepiscono integralmente il succitato dato normativo, stabilendo che… “… resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in relazione alla condotta accertata (cfr., anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno…”.

Inquadrato, pertanto, il regime di responsabilità del danno da spamming, occorre adesso verificare la effettiva disciplina processuale applicabile ai relativi instaurandi giudizi.

In proposito, occorre fare riferimento all’art. 152 C.d.P., del quale si ritiene opportuno riportare l’integrale contenuto per opportunità di disamina:

“1. Tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, sono attribuite all’autorità giudiziaria ordinaria.

2. Per tutte le controversie di cui al comma 1 l’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento.

3. Il tribunale decide in ogni caso in composizione monocratica.

4. Se è presentato avverso un provvedimento del Garante anche ai sensi dell’articolo 143, il ricorso è proposto entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito. Se il ricorso è proposto oltre tale termine il giudice lo dichiara inammissibile con ordinanza ricorribile per cassazione.

5. La proposizione del ricorso non sospende l’esecuzione del provvedimento del Garante. Se ricorrono gravi motivi il giudice, sentite le parti, può disporre diversamente in tutto o in parte con ordinanza impugnabile unitamente alla decisione che definisce il grado di giudizio.

6. Quando sussiste pericolo imminente di un danno grave ed irreparabile il giudice può emanare i provvedimenti necessari con decreto motivato, fissando, con il medesimo provvedimento, l’udienza di comparizione delle parti entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i provvedimenti emanati con decreto.

7. Il giudice fissa l’udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante. Tra il giorno della notificazione e l’udienza di comparizione intercorrono non meno di trenta giorni.

8. Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l’estinzione del processo, ponendo a carico del ricorrente le spese di giudizio.

9. Nel corso del giudizio il giudice dispone, anche d’ufficio, omettendo ogni formalità non necessaria al contraddittorio, i mezzi di prova che ritiene necessari e può disporre la citazione di testimoni anche senza la formulazione di capitoli.

10. Terminata l’istruttoria, il giudice invita le parti a precisare le conclusioni ed a procedere, nella stessa udienza, alla discussione orale della causa, pronunciando subito dopo la sentenza mediante lettura del dispositivo. Le motivazioni della sentenza sono depositate in cancelleria entro i successivi trenta giorni. Il giudice può anche redigere e leggere, unitamente al dispositivo, la motivazione della sentenza, che è subito dopo depositata in cancelleria.

11. Se necessario, il giudice può concedere alle parti un termine non superiore a dieci giorni per il deposito di note difensive e rinviare la causa all’udienza immediatamente successiva alla scadenza del termine per la discussione e la pronuncia della sentenza.

12. Con la sentenza il giudice, anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), quando è necessario anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile, accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, dispone sul risarcimento del danno, ove richiesto, e pone a carico della parte soccombente le spese del procedimento.

13. La sentenza non è appellabile, ma è ammesso il ricorso per cassazione.

14. Le disposizioni di cui al presente articolo si applicano anche nei casi previsti dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni.”.

avv. Rosario Beninato

---

[1] Internet Magazine, Maggio 2007.

[2] La Direttiva 2002/58/CE prescrive che “…occorre prevedere misure per tutelare gli abbonati da interferenze nella loro vita privata mediante comunicazioni indesiderate a scopo di commercializzazione diretta, in particolare mediante dispositivi automatici di chiamata, telefax o posta elettronica, compresi SMS…”.

[3] Giudice di Pace Napoli, 1a Sez., 10.06.2004, in Danno e Resp., 2005, 6, 659, POLICELLA e Giudice di Pace Napoli, 3a Sez., 26.06.2004, in Resp. civ., 2004, 1, 82.

[4] In dottrina, è stato affermato che la pericolosità sia riferibile al trattamento ex se considerato, a prescindere se si tratti con mezzi elettronici ovvero c.d. manual data, Antonio Scalisi, Il diritto alla Riservatezza, Giuffrè Editore, 2002, pag. 554.

[5] Garante per la protezione dei dati personali, 06.05.2010, in Bollettino del n. 116/maggio 2010 e 26.03.2010, in Bollettino del n. 114/marzo 2010.

Popularity: 21% [?]