Cessione illecita di dati per finalità di marketing

In linea di principio la cessione dei dati a terzi per finalità di marketing è ammessa solo nell'ipotesi in cui il soggetto interessato abbia rilasciato un valido consenso in tal senso.

Ne deriva che qualora la diffusione non abbia come presupposto la manifestazione di un consenso valido non solo alla cessione, ma per quella specifica finalità, il trattamento dovrà considerarsi illecito, con la possibilità di prevedere, a carico del titolare, (anche) una responsabilità penale.

L'art. 167-bis comma 2 Codice privacy, infatti, prevede la reclusione da uno a sei anni per le ipotesi nelle quali si realizzi la comunicazione o la diffusione, anche parziale, di un archivio automatizzato, intendendosi con questo termine un insieme strutturato di dati personali, indipendentemente dalle modalità specifiche con le quali lo stesso viene organizzato.

Il trattamento illecito deve inoltre avvenire con lo specifico intento di ottenere, per sé o altri un profitto o per arrecare danno a terzi. Qualora, dunque, la cessione o la diffusione sia avvenuta per ragioni diverse, difettando il dolo specifico, non potrà dirsi sussistente questa ipotesi di reato.

La responsabilità penale prevede altresì che il trattamento illecito debba avvenire su larga scala. A fronte della mancanza nel GDPR di una definizione di tale concetto sarà il giudice che, nel singolo caso, stabilirà se il trattamento è avvenuto secondo tale modalità, con evidenti ricadute sia in termini di tassatività ed effettiva punibilità della fattispecie, sia di prevedibilità delle conseguenze della propria condotta in capo ai soggetti agenti, dall'altro.