Attività giornalistica e spamming in tema di trattamento illecito dei dati personali
Nel precedente articolo (clicca qui per leggerlo) abbiamo parlato del ruolo del Titolare e del Responsabile del trattamento dei dati personali, concentrandoci sul concetto di danno e sulle azioni legali da intraprendere in caso di trattamento illecito degli stessi e di eventuali danni arrecati agli interessati o a terzi.
In questa sede ci focalizzeremo sull’attività giornalistica e sullo spamming, analizzando i principali orientamenti giurisprudenziali in tema di trattamento illecito dei dati personali in queste aree d’interesse.
L’attività giornalistica e il trattamento dei dati personali
La questione da sempre dibattuta riguarda certamente la contrapposizione tra il diritto all’informazione – previsto dall’art. 21 della Costituzione – e quello alla riservatezza, previsto dal combinato disposto degli artt. 2 e 21 della Costituzione.
Il GDPR, all’art. 17, garantisce il diritto all’oblio, cioè all’oscurazione e alla non divulgazione di dati personali (presenti sul web, soprattutto) appartenenti ad un determinato soggetto o di notizie che, a causa del trascorrere del tempo, risultino ormai dimenticate o non più rilevanti per la collettività.
Negli ultimi 18 anni la Corte di Cassazione ha seguito un unico orientamento in tema di diritto all’oblio, affermando che la pubblicazione su un quotidiano della foto di una persona in coincidenza cronologica col momento dell’arresto deve rispettare sia le condizioni del diritto di cronaca, sia le “cautele imposte dalla tutela della dignità della persona, che viene colta in un frangente di particolare debolezza” (Cass. civ. sentenza 6 giugno 2014, n. 12834).
Il trascorrere del tempo, infatti, muta il rapporto tra i contrapposti diritti di cronaca e di riservatezza. Pertanto, la pubblicazione/divulgazione di una notizia o di un’informazione riguardante un determinato soggetto, a distanza di tempo dal verificarsi dei fatti, determina una violazione del suo diritto all’oblio.
Le Sezioni Unite della Suprema Corte, con una recente sentenza, hanno chiarito meglio tale principio, aggiungendo che, qualora una notizia del passato – diffusa a suo tempo nel legittimo esercizio del diritto di cronaca – venga nuovamente pubblicata/divulgata, a distanza di un “lasso di tempo significativo”, solo per scelta editoriale, l’attività svolta dal giornalista riveste un carattere storiografico (Cass. civ sez. Unite n 27988/2019).
Pertanto, in quest’ultimo caso, prevale il diritto dell’interessato (coinvolto nella notizia) al mantenimento dell’anonimato sulla sua identità personale, a meno che non sussista un rinnovato interesse pubblico alla conoscenza dei fatti, oppure il protagonista abbia ricoperto o ricopra una funzione che lo renda pubblicamente noto.
Lo spamming e il trattamento dei dati personali
Un altro importante contesto in cui si ravvisano continue violazioni del diritto alla riservatezza è quello dello spamming: l’attività promozionale “selvaggia”, svolta mediante l’invio (in varie forme) di plurimi messaggi pubblicitari a una vasta platea di utenti, senza il preventivo consenso di questi ultimi.
Tuttavia la Corte di Cassazione ha chiarito come il rilievo penale di tale condotta promozionale non possa essere individuato nel semplice fastidio procurato al destinatario di dover cancellare di volta in volta le mail indesiderate; bensì in un “pregiudizio concreto, anche non patrimoniale, suscettibile di essere giuridicamente apprezzato …” (Cass. pen., Sent. n. 41604/2019).
Un esempio di pregiudizio concreto è ravvisabile nel disagio procurato all’utente dalla ricezione continua di messaggi indesiderati provenienti dallo stesso mittente (Titolare o Responsabile del trattamento), nonostante la segnalazione di non volerli più ricevere.
Tale orientamento giurisprudenziale è stato seguito negli anni anche dall’Autorità Garante, la quale ha emesso lo scorso anno (2021) due provvedimenti sanzionatori nei confronti di due compagnie di telecomunicazioni, ree di aver attuato una massiccia pratica di spamming in nei confronti di una pluralità di utenti.
Il primo provvedimento (ordinanza del 16 settembre 2021) è stato emesso nei confronti di una compagnia telefonica, rea di aver violato gli articoli 5, 6, 7, 14 e 21 del GDPR per:
- aver effettuato trattamenti di dati personali per finalità promozionali di propri prodotti e servizi, in assenza del prescritto consenso da parte degli utenti interessati e di un’idonea informativa;
- non aver effettuato controlli sulle liste di contestabilità acquisite da soggetti terzi;
- non aver provveduto ad una corretta registrazione delle opposizioni.
L’Autorità garante, per tali violazioni, ha condannato la compagnia telefonica a versare una sanzione pecuniaria pari a circa 132 milioni di Euro, vietando altresì di trattare con finalità promozionale e commerciale i dati personali degli utenti acquisiti da liste appartenenti a soggetti terzi, in assenza di efficaci verifiche sul consenso degli interessati alla comunicazione dei dati.
Il secondo provvedimento (ordinanza del 25 marzo 2021), invece, è stato emesso nei confronti di un’altra società di telecomunicazioni, all’esito di un procedimento avviato a causa di molteplici reclami inoltrati da utenti che lamentavano continui contatti telefonici indesiderati da parte della compagnia, con lo scopo di promuovere servizi di telefonia e internet.
L’ordinanza ha rilevato come la compagnia, quale Titolare del trattamento dei dati, non abbia provveduto, fin dal primo contatto col potenziale cliente, ad implementare sistemi di controllo della “filiera” di raccolta dei dati personali, idonei ad escludere che l’attivazione dei servizi o la sottoscrizione dei contratti fosse avvenuta grazie ad attività promozionali illecite o indesiderate.
L’Autorità, dunque, ha condannato la società a:
- adeguare i trattamenti in materia di telemarketing, in modo che questi prevedessero l’attivazione di servizi e la registrazione di contratti solo a seguito di contatti promozionali effettuati dalla rete di vendita della stessa società, mediante numerazioni telefoniche censite e iscritte al Registro degli Operatori di Comunicazione.
- Riformulare l’informativa relativa al servizio “Call me back” – indicando specificamente le modalità di ricontatto da parte dell’utente – e prevedere una modalità automatizzata di disattivazione del servizio.
- Versare una sanzione pecuniaria pari a circa 90 milioni di Euro; importo commisurato al fatturato della Società, alla gravità e alla durata delle violazioni perpetrate e all’elevatissimo numero degli utenti coinvolti.