Garante per la protezione dei dati personali OECD WORKSHOP ON SPAM 2-3 febbraio 2004 – Bruxelles, Belgio
"Frameworks for Enforcement Co-operation in Related Areas" Giovanni Buttarelli, Garante per la protezione dei dati personali - Italia Traduzione non ufficiale a cura dell'Ufficio del Garante
Da questo Workshop sono gi emerse molte idee interessanti. Ci sono varie proposte, che dovremo cercare di armonizzare nel pomeriggio. CĠ per un filo conduttore tra gli interventi di ieri e di stamane: malgrado i molti sforzi, le norme opt-in approvate in molti Paesi, lĠarmonizzazione delle regole in Europa, i codici deontologici promossi, alcune tecniche specie di filtraggio, la sensibilizzazione culturale, il fenomeno dello spamming non ancora sensibilmente ridotto e in alcuni Paesi ancora oggi in corposo aumento. Una seconda considerazione mi sembra sottesa a vari interventi: ci vuole un approccio globale su scala mondiale, caratterizzato dallĠinterazione di molti approcci e strumenti, anzich su soluzioni basate solo sulla repressione o sulla self-regulation o su interventi educativi. Prima di fare qualche considerazione generale, vorrei portarvi la recente esperienza italiana, molto aggressiva nei confronti dello spam ma inefficace in alcuni casi specifici. Nel mio Paese siamo stati tra i primi a seguire lĠapproccio opt-in, fin dal 1996, tutelando tutti i destinatari, sia persone fisiche sia persone giuridiche. Nel mio Paese lo spamming anche un reato, se cĠ un fine di profitto o lĠintento di danneggiare il destinatario. Queste regole sono state confermate due volte dal nostro legislatore nazionale, nel 1998 e nel 2003. Devo ammettere che non abbiamo maturato unĠesperienza particolarmente consistente per quanto riguarda la cooperazione quotidiana con altri Paesi in materia di enforcement. Abbiamo avuto moltissimi casi ed ottimi esempi in cui abbiamo potuto scambiare informazioni ed ottenere lĠesecuzione di nostri provvedimenti, in Europa come in Australia, in Canada e negli USA; tuttavia, ci ha riguardato soprattutto altre problematiche, diverse dallo spamming. La nostra Autorit di protezione dei dati personali da 2/3 anni impegnata massicciamente: abbiamo adottato vari provvedimenti, anche di carattere generale, con i quali abbiamo toccato i vari aspetti del consenso e dellĠinformativa. Abbiamo ribadito pi volte che vietato utilizzare software che rastrellano indiscriminatamente dati disponibili in rete (ad esempio in forum o newgroups), o creano automaticamente indirizzi senza neanche verificare a chi pervengono o se sono attivi. Abbiamo sanzionato lĠutilizzo commerciale di indirizzi di posta elettronica che erano stati pubblicati su siti di pubbliche amministrazioni e di aziende per specifiche finalit. Ci siamo occupati della pubblicit delle liste anagrafiche degli abbonati ai provider, e degli elenchi delle persone che hanno registrato i nomi a dominio. Abbiamo affermato pi volte il principio della libert del consenso, che non si pu estorcere ad un utente solo perch si fornisce un altro servizio. Abbiamo dichiarato sleali determinate prassi nelle quali non vi era unĠadeguata e sincera informativa sugli scopi dellĠutilizzazione di dati da parte di terzi, o nelle quali con la scusa di chiedere il consenso si mandava una prima pubblicit in stile opt-out. Nel 2002 abbiamo visto che non si raccoglievano molti frutti e siamo passati allora ad una dimensione pi repressiva. Con la collaborazione di una forza di polizia abbiamo eseguito contemporaneamente lo stesso giorno dodici provvedimenti con cui abbiamo bloccato lĠattivit illecita di alcune aziende, le abbiamo denunciate allĠautorit giudiziaria. Abbiamo dato molto risalto mediatico allĠĠiniziativa, e il popolo della rete ha iniziato ad esercitare massicciamente i propri diritti di accesso, opposizione e cancellazione dei dati direttamente presso gli spammer, stimolata anche dal fatto che, a parte il risarcimento del danno che pu essere chiesto davanti al giudice, noi accordiamo subito a ciascun ricorrente un ristoro immediatamente esecutivo sulle spese del procedimento, fino a 250 euro e, nei casi pi gravi, fino a 500 euro per ogni ricorso. Ne sono derivate molte inchieste penali, moltissimi ricorsi veri e propri alla nostra Autorit, che li decide entro 60 gg. con una decisione che deve essere rispettata altrimenti si commette un autonomo reato. Il legislatore ci ha dato lĠautorit di imporre ai provider lĠadozione di filtri e di altre misure praticabili per quanto riguarda le coordinate di posta elettronica degli spammer. Il risultato incoraggiante in termini culturali e di opinione pubblica, ma pesante per quanto riguarda la funzionalit del nostro organismo. Le indagini per rintracciare lo spammer sono a volte complesse e richiedono molte energie o si fermano senza esito. Lo spamming non il pi grave degli illeciti che si possono commettere con i dati personali, eppure assorbe oggi gi almeno il 34 % delle ispezioni esterne e ¼ delle decisioni sui ricorsi dei cittadini. Avremmo dovuto denunciare alla magistratura penale migliaia di persone e siamo stati quindi indotti ad interpretare la norma penale nel senso che lo spamming reato non quando cĠ una sola e-mail indesiderata, ma solo quando cĠ unĠattivit sistematica. Non abbiamo fatto solo repressione: abbiamo anche dato suggerimenti su come informare user friendly e raccogliere lealmente il consenso. Tra poco faremo adottare anche uno specifico codice deontologico che avr valore di legge e sar addirittura allegato allĠoriginale del Data Protection Act. Tuttavia, il sistema descritto frutto di un approccio nazionale; il fenomeno dello spamming resta elevato e lĠapproccio di law enforcement da solo non pu risolvere il problema, anche quando giungessimo ad applicare comunque la norma penale nazionale del luogo in cui giunge lĠe-mail. Fino a qualche anno fa il mio indirizzo di posta elettronica personale era conosciuto anche allĠestero, ma solo ad amici e colleghi. Da quando ho partecipato negli U.S.A. ad un convegno sulla privacy, e lĠho incautamente indicato a qualcuno, ricevo non meno di 50 e-mail di tutti i tipi, tutte dallĠestero, e leggendo le quali si potrebbe delineare un mio pessimo profilo. Le garanzie italiane mi aiutano poco perch non sono applicabili alle e-mail provenienti dallĠestero, conformemente al principio di stabilimento adottato dalla direttiva n. 95/46 del 1995. Potrei invocare la legge penale fuori del campo della protezione dei dati, se cĠ ad esempio una tentata truffa o unĠoffesa alla mia dignit o reputazione. Potrei scrivere ad unĠautorit competente nel Paese da dove proviene lo spamming (una soluzione prospettata in uno dei nostri provvedimenti generali), ma impiegherei molto tempo e non posso permetterlo. In molti casi, poi, lo spamming viene nei week-end e si capisce che gli spammer sono molte volte singole persone che esercitano in privato questa attivit da casa, senza unĠorganizzazione alle spalle e senza ricadere necessariamente nel campo di applicazione di una legge relativa alla protezione dati, visto che, almeno in Europa, questa normativa in genere non riguarda alcuni trattamenti di dati personali per scopi privati e personali. Pertanto, rispondere loro contestando lo spamming significherebbe confermare la validit del mio indirizzo, renderlo pi interessante per altri messaggi. Ho poi un caso interessante di cooperazione tra autorit di protezione dei dati, basato su unĠesperienza personale. Mentre ero al telefono con i colleghi francesi, ho ricevuto una e-mail indesiderata dalla Francia. Ho chiesto in tempo reale di smettere minacciando altrimenti di rivolgermi alla polizia e ho ricevuto in pochi secondi un ÒnoÓ insultante. Allora ho chiesto, sempre in tempo reale, alla collega francese come regolarmi e ho girato a lei le e-mail. Con una encomiabile efficienza, lĠAutorit francese ha rintracciato lo spammer, lo ha deferito per pratica commerciale non autorizzato, ha verificato lĠorigine dei dati, ha posto un formale stop allo spamming e mi ha scritto due lettere in poco tempo. Sono veramente molto grato al sig. Gentot, ma poi mi sono chiesto come potremmo –noi autorit di protezione dei dati- far fronte caso per caso a questi fenomeni. Che cosa possiamo allora suggerire nel breve periodo? Sono ottimista, ma preoccupato dellĠaumento dei costi economici dello spamming e della crescente offerta di servizi di posta elettronica anti-spamming a pagamento. Concordo su molte altre proposte fatte, sulle quali non torner. Mi limito invece ad alcune considerazioni finali, sul piano giuridico e tecnico. Sul piano giuridico, i meccanismi tradizionali delle rogatorie penali non sono molto adatti a queste fattispecie e penso che il terreno della protezione dei dati possa dare migliori risultati. Le direttive europee sulla privacy, la Convenzione di Strasburgo n. 108/1981 e la Convenzione sul Cybercrime prevedono gi forme di cooperazione che sono gi in atto anche attraverso il Gruppo dellĠart. 29 e periodici workshops sui ricorsi, che sono menzionati anche nella Comunicazione della Commissione europea. Non vedo alcuna difficolt per quanto riguarda lo scambio di informazioni rispetto a ricorsi transfrontalieri, lĠeventuale rimessione del ricorso allĠautorit pertinente (quella del Paese da cui provengono i messaggi), lĠarmonizzazione delle prassi seguite da tutte le Autorit di protezione dati. Su questi punti, mi sembra che non ci sia alcuna esigenza fondamentale di introdurre norme ulteriori. Possiamo comunque incrementare questa cooperazione fra Autorit nazionali gi sul piano amministrativo, attraverso la creazione di Intranet oppure scambi di dati, e potremmo forse riflettere su un nuovo quadro giuridico di cooperazione settoriale, per intensificarla ancora di pi. Si potrebbe prendere ad esempio il regolamento comunitario n. 1/2003, che in materia di diritto della concorrenza istituzionalizza networks orizzontali (fra autorit e potere giudiziario negli Stati membri, e tra Stati membri) e verticali (anche con la Commissione) e ipotizza altre forme di collaborazione bilaterale e multilaterale con Stati terzi. Dunque, le difficolt pi consistenti riguardano forse lĠeliminazione di ostacoli allo scambio di informazioni ed alla cooperazione con gli Stati terzi. Dovremmo poi riflettere sulla possibilit giuridica di: considerare responsabile in solido il soggetto in favore del quale fatta la pubblicit, quando non identificabile il mittente della e-mail; valorizzare le responsabilit di fornitori di servizi di comunicazione elettronica e il ruolo delle autorit di regolamentazione in quel settore, per far s che le gravi e reiterate inosservanze della normativa sulla protezione dei dati, che rileva come uno dei requisiti fondamentali del servizio prestato, possano essere oggetto di un provvedimento di richiamo, sospensione o revoca dellĠautorizzazione a prestare il servizio, in base alla disciplina di recepimento delle direttive nn. 19, 20 e 21 del 2002. Sul piano tecnico, la normativa sul servizio di identificazione delle linee telefoniche chiamanti di tipo digitale pone lĠinterrogativo se sia possibile introdurre anche nelle comunicazioni e-mail un servizio che permetta di rifiutare gratuitamente e automaticamente (senza sopportare i costi della loro ricezione) e-mail non incluse in una white-list aggiornata dallĠutente destinatario. UnĠobiezione non trascurabile a questi sistemi di "whitelisting" quella relativa al fatto che il "primo contatto" tra due utenti desiderosi di comunicare per mezzo di email dovrebbe a volte avvenire con una comunicazione "fuori banda", quindi con strumenti diversi dalla posta elettronica. D'altra parte, per adottare misure realmente efficaci in Internet e che non rallentino l'efficienza dei protocolli e delle reti conveniente attendere le iniziative in corso nelle sedi tecniche come lo IETF (Internet Engineering Task Force) e lo IAB (Internet Architecture Board) e che presumibilmente comporteranno proposte tecniche di sostanziali modifiche agli attuali protocolli di posta elettronica. Giova ricordare, a questo proposito, che l'attuale protocollo SMTP (Simple Mail Transfer Protocol - RFC-821) risale nella sua prima formulazione all'agosto del 1982. Interventi correttivi sulla base dell'attuale protocollo, pur apprezzabili e utili in questo momento, avrebbero la valenza di rimedi palliativi e temporanei in attesa di una ridefinizione dei protocolli che per portata e impatto non sarebbe comunque inferiore all'introduzione del "new generation IP" ovvero del protocollo IPv6. Lasciamo quindi questo compito ai tecnici. Infine, vorrei tornare al suggerimento formulato da Mozelle Thompson, il quale giustamente sottolinea la necessit di fare chiarezza sulla competenza e sui poteri degli organismi giudiziari e amministrativi, non soltanto nel settore della privacy e/o della protezione dei dati. Roma 2 febbraio 2004 |