Indice dei contenuti
GDPR e Spam: la prima condanna con risarcimento del danno
Arriva dalla Germania la prima condanna per il risarcimento del danno derivante dallo spam: il Tribunale regionale di Heidelberg, con sentenza del 16 marzo 2022 (resa nel caso rubricato 4S 1/21, ha infatti applicato, per la prima volta, la normativa GDPR privacy (articoli 79 e 82 del GDPR) per una vicenda che risale al 2019.
Nel caso affrontato dalla corte tedesca, l’interessato ad aprile 2019 aveva ricevuto una prima email pubblicitaria relativa a un corso di formazione, ma non aveva prestato il consenso a ricevere tale comunicazione pertanto si è opposto all’invio, manifestando al titolare del trattamento la sua opposizione. Malgrado ciò, due mesi più tardi, ha ricevuto un’altra email pubblicitaria per lo stesso corso e a quel punto ha fatto causa per il trattamento indebito dei dati, chiedendo anche il risarcimento del danno.
Nella prima fase del contenzioso, il giudice ha ordinato al titolare del trattamento dei dati di cessare l’invio di email pubblicitarie, ma ha respinto la richiesta di risarcimento in quanto non ha riconosciuto alcun danno rilevante. Il Tribunale regionale di Heidelberg ha ribaltando la sentenza di primo grado, riconoscendo le buone ragioni del professionista e accordandogli, ai sensi dell’articolo 82 del GDPR privacy, la somma complessiva di 25 euro, ossia 12 euro e 50 centesimi per ogni email di spam ricevuta.
La sentenza tedesca, oltre ad essere un importante precedente, si pone in netto contrasto con quella italiana del 2017 (Cassazione civile sez. I n. 3311/17), anno in cui un cittadino, stufo di ricevere continuamente email di spam, ha deciso di rivolgersi ad un Giudice per richiedere un risarcimento danni. Un caso identico a quello tedesco ma dall’epilogo completamente diverso: infatti, l’interessato, oltre a non aver ottenuto il risarcimento richiesto, pari a 360 euro, è stato anche condannato al gamento di €1.500 ai sensi dell’art. 96 c.p.c. per “lite temeraria” poiché, secondo la sentenza, il danno indicato è “ipotetico e futile, consistente al più in un modesto disagio o fastidio, senz’altro tollerabile, collegato al fatto, connesso ad un uso ordinario del computer, di avere ricevuto dieci email indesiderate, di contenuto pubblicitario, nell’arco di tre anni”.
GDPR spam mail: cosa dicono gli articoli 79 e 82
L’art. 79 del Regolamento UE 2016/679 stabilisce che ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento qualora ritenga che i diritti di cui gode a norma del regolamento siano stati violati a seguito di un trattamento.
A questo si aggiunge l’art. 82 GDPR, il quale tratta specificamente il diritto al risarcimento del danno. Recita il comma 1: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
È quindi evidente che la richiesta di un risarcimento danni da parte del cittadino tedesco sia legittima. L’unicità della sentenza emessa dal Tribunale regionale di Heidelberg si nasconde nell’interpretazione del concetto di danno: per il giudice tedesco, infatti, a differenza di quello italiano, sono sufficienti due email spam per provocare un danno e ritenere opportuna la richiesta di risarcimento del danno.
Il rapporto tra l’email marketing e il GDPR soft spam
Lo spam è qualsiasi tipo di comunicazione digitale indesiderata e non richiesta che viene inviata tramite email per scopi commerciali. Molte aziende utilizzano lo spam perché il costo per email è incredibilmente basso e quindi è possibile inviarne quantità massicce in maniera costante.
Tuttavia, bisogna fare delle distinzioni tra le diverse tipologie di email promozionali perché non sono tutte uguali. Esistono infatti le cold email, che servono per promuovere i servizi a potenziali clienti, le soft spam, strumento utile per contattare clienti già acquisiti, e le spam.
Nel primo caso, si tratta di potenziali clienti dai quali è stato ottenuto il consenso per l’invio di comunicazioni promozionali, nel pieno rispetto del GDPR, mentre le soft spam, ossia email inviate a destinatari già fidelizzati, devono rispettare i seguenti requisiti:
- L’interessato deve essere maggiorenne;
- L’email deve riguardare prodotti e/o servizi del titolare del trattamento;
- Il cliente deve avere la possibilità di opporsi al trattamento in modo semplice e gratuito (opt-out);
- Non devono essere utilizzati sistemi automatizzati per l’attività di email marketing;
- Il trattamento viene giustificato da un interesse legittimo del titolare del trattamento;
- Al cliente deve essere fornita la Privacy Policy per comunicare tutti i dettagli sul trattamento dei dati.
