Pubblicato in Altri diritti

IL TRATTAMENTO DEI DATI PERSONALI NELLE OPERAZIONI E-COMMERCE E DI MARKETING: ASPETTI CIVILISTICI E PENALISTICI

by Dott. Dario Curti e Dott. Pasquale Manili on24 Gennaio 2017

Attorno alle attività di acquisto on-line ed alle annesse operazioni di marketing gravita un intenso e continuo scambio di dati personali,

oggi favorito, ancor di più, da tecnologie, sistemi e processi che né consentono un’immediata condivisione tra più soggetti, nonché una diffusione globale. Il commercio elettronico[1] o e-commerce, per utilizzare la definizione comunitaria, ha indubbiamente invaso e “ristrutturato” il mercato ed in tale contesto rientra anche la Direttiva europea 2000/31/CE[2] (c.d. “Direttiva sul commercio elettronico”) che richiameremo innanzi.

Premesso che per dato personale si deve intendere “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (lett. b), comma 1, art. 4, D.Lgs. n. 196/2003, Codice in materia di protezione dei dati personali, c.d. “Codice della Privacy”), modif. dal D.L. n. 201/2011, conv. in L. n. 214/2011), appare per nulla scialba l’analisi del fenomeno del cosiddetto marketing diretto: ossia, le attività di invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, attraverso il ricorso a strumenti automatizzati di contatto come la posta elettronica, il telefax, i messaggi del tipo mms (multimedia messaging service) o sms (short message service) o strumenti di altro tipo[3].

A tal proposito il Codice della Privacy esige “il consenso del contraente o dell’utente” per lo svolgimento di dette attività. Nel contempo, è posto a carico del titolare del trattamento dei dati[4] l’onere di fornire l’informativa all’interessato “oralmente o per iscritto” (art. 13, Codice della Privacy) conseguendo in caso di inidoneità di quest’ultima oppure di inottemperanza a tale dovere l’applicazione della sanzione amministrativa ex art. 161, D.Lgs. n. 196/2003.

Altra rilevante questione attiene, poi, alla posizione del prestatore dei servizi di hosting[5]rispetto ad un eventuale dovere di sorveglianza sui dati, così, memorizzati. Occorre, però, un passaggio intermedio chiarificatore. Orbene, in tale contesto, è il D.Lgs. n. 70/2003, il quale recepisce la Direttiva sull’e-commerce, prima citata, e non disciplina, invece, “le questioni relative al diritto alla riservatezza”[6](regolamentate da un corpus a parte, ossia il quadro normativo riservato alla tutela dei dati personali), a stabilire che “il prestatore non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio”, purché il primo non abbia conoscenza reale dell’illiceità dell’attività o dell’informazione e, relativamente alle azioni di risarcimento, “non sia al corrente di fatti o circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione”[7]; ancora, purché nell’immediatezza dell’avvenuta conoscenza da parte del prestatore di tali fatti, su comunicazione delle autorità competenti, esso si attivi immediatamente per la rimozione delle informazioni oggetto dell’illecito o la disabilitazione all’accesso delle stesse.

Né consegue, pertanto che fintanto all’ ISP (internet service provider) è sconosciuto il carattere illecito della predetta attività e succitata informazione, egli può essere ritenuto responsabile, in quanto non ha obblighi di sorveglianza, né può essere considerato titolare del trattamento, in quanto non ha alcun potere di controllo[8].

In tale ambito, caratterizzato dalla continua espansione e sempre più maggiore rilevanza, il legislatore non ha mancato di disciplinare anche l'aspetto penalistico della materia, sul quale risulta opportuno, seppur succintamente, spendere qualche considerazione.

La normativa di riferimento non può non essere quella dei reati informatici[9](computer crimes), i quali comprendono sia i fatti illeciti dove l'elaboratore rappresenta il mezzo per la realizzazione di reati, che l' oggetto di tutela, contro le altrui condotte criminose.

Le macro-categorie in cui la dottrina e la giurisprudenza hanno suddiviso la disciplina dei reati informatici  (frodi informatiche art. 640ter c.p.; falsificazioni art. 491bis c.p.; integrità dei dati e dei sistemi informatici e telematici artt. 635bis, 635ter, 625quater, 635quinquies c.p.; riservatezza dei dati e delle comunicazioni informatiche artt. 615ter, 615quater, 615quinquies, 617quater, 617quinquies e 617sexies c.p.), mostrano chiaramente come il legislatore si sia reso conto dell'importanza di una regolamentazione che sanzioni penalmente condotte che si realizzano nell'alveo dei sistemi informatici e telematici, tutelando dall'altro lato l'utente o l'operatore che legittimamente viene a contatto o utilizza le medesime tecnologie.

Vista la notevole differenza ed eterogeneità  della materia dei reati informatici risulta impossibile unificare le singole fattispecie sotto un comune bene giuridico tutelato[10].

Si può però affermare che la nascita e lo sviluppo delle moderne tecnologie di trattamento e trasmissione a distanza delle informazioni, le quali mediante l'utilizzo di un linguaggio elettronico permettono di salvare, modificare e inviare dati, hanno portato ad individuare un nuovo bene di rilievo economico, prima inesistente, che può essere definito bene giuridico informatico. Ed è questo che può considerarsi, seppur in senso atecnico, un elemento comune nella materia dei reati informatici, i quali proprio in virtù di questa loro particolarità, in una prospettiva caratterizzata dalla continua e inarrestabile evoluzione tecnologica, sono destinati ad assumere sempre di più un ruolo di indubbio rilievo.


[1]La Commissione europea con Comunicazione n. 157/1997 ha definito“commercio elettronico”, come “lo svolgimento di attività commerciali per via elettronica. Basato sull’elaborazione e la trasmissione di dati (tra cui testo, suoni e immagini video) per via elettronica, esso comprende attività disparate quali: commercializzazione di merci e servizi per via elettronica; distribuzione on-line di contenuti digitali; effettuazione per via elettronica di operazioni quali trasferimenti di fondi, compravendita di azioni, emissione di polizze di carico, vendite all’asta, progettazione e ingegneria in cooperazione; on-line sourcing; appalti pubblici per via elettronica, vendita diretta al consumatore e servizi post-vendita”. La Circolare n. 3487/C del D.Lgs. n. 114/1998 il Ministero dell’Industria, del Commercio e dell’Artigianato, pur richiamando la definizione europea anzidetta, ha stabilito che per “commercio elettronico” deve intendersi solamente la “parte di commercio elettronico inteso come attività di vendita di beni”. - L’impresa e il commercio elettronico: opportunità, normativa, sicurezza- Università degli Studi di Milano, Dipartimento di Scienze Giuridiche “Cesare Beccaria” e Camera Commercio Milano - Prof. Avv. Giovanni Ziccardi, Prof. Avv. Pierluigi Perri, laureanda Silvia Martinelli. 

[2]Direttiva del Parlamento europeo e del Consiglio n. 31 dell’8 giugno 2000.

[3]Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto - 15 maggio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)- Garante per la protezione dei dati personali, Registro dei provvedimenti n. 242 del 15 maggio 2013.

[4]Ai sensi dell’art. 4, comma 1, lett. f),  D.Lgs. n. 196/2003, il titolare del trattamento dei datiè “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.

[5]Per hosting (dall’inglese to host, ospitare) si intendono, in sintesi, tutte le attività di memorizzazione di informazioni attraverso un server connesso ad una rete web.

[6]Art. 1, comma 2, lett. b).

[7]Art. 16, D.Lgs. n. 70/2003.

[8]L’impresa e il commercio elettronico: opportunità, normativa, sicurezza- Università degli Studi di Milano, Dipartimento di Scienze Giuridiche “Cesare Beccaria” e Camera Commercio Milano - Prof. Avv. Giovanni Ziccardi, Prof. Avv. Pierluigi Perri, laureanda Silvia Martinelli. Sul punto, occorre comunque osservare che, ai sensi dell’art. 17, D.Lgs. n. 70/2013, “il prestatore è comunque tenuto: a) ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione; b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.”

[9]Sul tema si veda senza pretesa esaustività M.M. Alma-C.Perroni, Riflessioni sull'attuazione a tutela dei sistemi indormatici, in Dir.pen. e proc. 1997, 504; L.Stilo,Crimini informatici: dalle liste nere al codice penale italiano, in Nuovo dir. 2002, 10,62;

[10]Cfr. E.Giannantonio, L'oggetto giuridico dei reati informatici, in Cass. Pen. 2001, 7/8, 2029.

Ultima modifica il 08 Febbraio 2017