Garante per la protezione
    dei dati personali


Comunicato Stampa

OECD WORKSHOP ON SPAM


2-3 febbraio 2004 – Bruxelles, Belgio

 

"Frameworks for Enforcement Co-operation in Related Areas"    


Giovanni Buttarelli,
Garante per la protezione dei dati personali - Italia

Traduzione non ufficiale
a cura dell'Ufficio del Garante

 

Da questo Workshop sono giˆ emerse molte idee interessanti.

Ci sono varie proposte, che dovremo cercare di armonizzare nel pomeriggio.

CĠ per˜ un filo conduttore tra gli interventi di ieri e di stamane: malgrado i molti sforzi, le norme opt-in approvate in molti Paesi, lĠarmonizzazione delle regole in Europa, i codici deontologici promossi, alcune tecniche specie di filtraggio, la sensibilizzazione culturale, il fenomeno dello spamming non  ancora sensibilmente ridotto e in alcuni Paesi  ancora oggi in corposo aumento.

Una seconda considerazione mi sembra sottesa a vari interventi: ci vuole un approccio globale su scala mondiale, caratterizzato dallĠinterazione di molti approcci e strumenti, anzichŽ su soluzioni basate solo sulla repressione o sulla self-regulation o su interventi educativi.

Prima di fare qualche considerazione generale, vorrei portarvi la recente esperienza italiana, molto aggressiva nei confronti dello spam ma inefficace in alcuni casi specifici.

Nel mio Paese siamo stati tra i primi a seguire lĠapproccio opt-in, fin dal 1996, tutelando tutti i destinatari, sia persone fisiche sia persone giuridiche. Nel mio Paese lo spamming  anche un reato, se cĠ un fine di profitto o lĠintento di danneggiare il destinatario. Queste regole sono state confermate due volte dal nostro legislatore nazionale, nel 1998 e nel 2003.

Devo ammettere che non abbiamo maturato unĠesperienza particolarmente consistente per quanto riguarda la cooperazione quotidiana con altri Paesi in materia di enforcement. Abbiamo avuto moltissimi casi ed ottimi esempi in cui abbiamo potuto scambiare informazioni ed ottenere lĠesecuzione di nostri provvedimenti, in Europa come in Australia, in Canada e negli USA; tuttavia, ci˜ ha riguardato soprattutto altre problematiche, diverse dallo spamming.

La nostra Autoritˆ di protezione dei dati personali da 2/3 anni  impegnata massicciamente: abbiamo adottato vari provvedimenti, anche di carattere generale, con i quali abbiamo toccato i vari aspetti del consenso e dellĠinformativa.

Abbiamo ribadito pi volte che  vietato utilizzare software che rastrellano indiscriminatamente dati disponibili in rete (ad esempio in forum o newgroups), o creano automaticamente indirizzi senza neanche verificare a chi pervengono o se sono attivi.

Abbiamo sanzionato lĠutilizzo commerciale di indirizzi di posta elettronica che erano stati pubblicati su siti di pubbliche amministrazioni e di aziende per specifiche finalitˆ.

Ci siamo occupati della pubblicitˆ delle liste anagrafiche degli abbonati ai provider, e degli elenchi delle persone che hanno registrato i nomi a dominio.

Abbiamo affermato pi volte il principio della libertˆ del consenso, che non si pu˜ estorcere ad un utente solo perchŽ si fornisce un altro servizio.


Abbiamo dichiarato sleali determinate prassi nelle quali non vi era unĠadeguata e sincera informativa sugli scopi dellĠutilizzazione di dati da parte di terzi, o nelle quali con la scusa di chiedere il consenso si mandava una prima pubblicitˆ in stile opt-out.


Nel 2002 abbiamo visto che non si raccoglievano molti frutti e siamo passati allora ad una dimensione pi repressiva.

Con la collaborazione di una forza di polizia abbiamo eseguito contemporaneamente lo stesso giorno dodici provvedimenti con cui abbiamo bloccato lĠattivitˆ illecita di alcune aziende, le abbiamo denunciate allĠautoritˆ giudiziaria.

Abbiamo dato molto risalto mediatico allĠĠiniziativa, e il popolo della rete ha iniziato ad esercitare massicciamente i propri diritti di accesso, opposizione e cancellazione dei dati direttamente presso gli spammer, stimolata anche dal fatto che, a parte il risarcimento del danno che pu˜ essere chiesto davanti al giudice, noi accordiamo subito a ciascun ricorrente un ristoro immediatamente esecutivo sulle spese del procedimento, fino a 250 euro e, nei casi pi gravi, fino a 500 euro per ogni ricorso.

Ne sono derivate molte inchieste penali, moltissimi ricorsi veri e propri alla nostra Autoritˆ, che li decide entro 60 gg. con una decisione che deve essere rispettata altrimenti si commette un autonomo reato.

Il legislatore ci ha dato lĠautoritˆ di imporre ai provider lĠadozione di filtri e di altre misure praticabili per quanto riguarda le coordinate di posta elettronica degli spammer.

Il risultato  incoraggiante in termini culturali e di opinione pubblica, ma pesante per quanto riguarda la funzionalitˆ del nostro organismo.

Le indagini per rintracciare lo spammer sono a volte complesse e richiedono molte energie o si fermano senza esito.

Lo spamming non  il pi grave degli illeciti che si possono commettere con i dati personali, eppure assorbe oggi giˆ almeno il 34 % delle ispezioni esterne e ¼ delle decisioni sui ricorsi dei cittadini.
Avremmo dovuto denunciare alla magistratura penale migliaia di persone e siamo stati quindi indotti ad interpretare la norma penale nel senso che lo spamming  reato non quando cĠ una sola e-mail indesiderata, ma solo quando cĠ unĠattivitˆ sistematica.

Non abbiamo fatto solo repressione: abbiamo anche dato suggerimenti su come informare user friendly e raccogliere lealmente il consenso.

Tra poco faremo adottare anche uno specifico codice deontologico che avrˆ valore di legge e sarˆ addirittura allegato allĠoriginale del Data Protection Act.

Tuttavia, il sistema descritto  frutto di un approccio nazionale; il fenomeno dello spamming resta elevato e lĠapproccio di law enforcement da solo non pu˜ risolvere il problema, anche quando giungessimo ad applicare comunque la norma penale nazionale del luogo in cui giunge lĠe-mail.

Fino a qualche anno fa il mio indirizzo di posta elettronica personale era conosciuto anche allĠestero, ma solo ad amici e colleghi. Da quando ho partecipato negli U.S.A. ad un convegno sulla privacy, e lĠho incautamente indicato a qualcuno, ricevo non meno di 50 e-mail di tutti i tipi, tutte dallĠestero, e leggendo le quali si potrebbe delineare un mio pessimo profilo.

Le garanzie italiane mi aiutano poco perchŽ non sono applicabili alle e-mail provenienti dallĠestero, conformemente al principio di stabilimento adottato dalla direttiva n. 95/46 del 1995.

Potrei invocare la legge penale fuori del campo della protezione dei dati, se cĠ ad esempio una tentata truffa o unĠoffesa alla mia dignitˆ o reputazione. Potrei scrivere ad unĠautoritˆ competente nel Paese da dove proviene lo spamming (una soluzione prospettata in uno dei nostri provvedimenti generali), ma impiegherei molto tempo e non posso permetterlo.

In molti casi, poi, lo spamming viene nei week-end e si capisce che gli spammer sono molte volte singole persone che esercitano in privato questa attivitˆ da casa, senza unĠorganizzazione alle spalle e senza ricadere necessariamente nel campo di applicazione di una legge relativa alla protezione dati, visto che, almeno in Europa, questa normativa in genere non riguarda alcuni trattamenti di dati personali per scopi privati e personali. Pertanto, rispondere loro contestando lo spamming significherebbe confermare la validitˆ del mio indirizzo, renderlo pi interessante per altri messaggi.

Ho poi un caso interessante di cooperazione tra autoritˆ di protezione dei dati, basato su unĠesperienza personale.

Mentre ero al telefono con i colleghi francesi, ho ricevuto una e-mail indesiderata dalla Francia. Ho chiesto in tempo reale di smettere minacciando altrimenti di rivolgermi alla polizia e ho ricevuto in pochi secondi un ÒnoÓ insultante.

Allora ho chiesto, sempre in tempo reale, alla collega francese come regolarmi e ho girato a lei le e-mail. Con una encomiabile efficienza, lĠAutoritˆ francese ha rintracciato lo spammer, lo ha deferito per pratica commerciale non autorizzato, ha verificato lĠorigine dei dati, ha posto un formale stop allo spamming e mi ha scritto due lettere in poco tempo. Sono veramente molto grato al sig. Gentot, ma poi mi sono chiesto come potremmo –noi autoritˆ di protezione dei dati- far fronte caso per caso a questi fenomeni.

Che cosa possiamo allora suggerire nel breve periodo?

Sono ottimista, ma preoccupato dellĠaumento dei costi economici dello spamming e della crescente offerta di servizi di posta elettronica anti-spamming a pagamento.

Concordo su molte altre proposte fatte, sulle quali non torner˜.

Mi limito invece ad alcune considerazioni finali, sul piano giuridico e tecnico.

Sul piano giuridico, i meccanismi tradizionali delle rogatorie penali non sono molto adatti a queste fattispecie e penso che il terreno della protezione dei dati possa dare migliori risultati.

Le direttive europee sulla privacy, la Convenzione di Strasburgo n. 108/1981 e la Convenzione sul Cybercrime prevedono giˆ forme di cooperazione che sono giˆ in atto anche attraverso il Gruppo dellĠart. 29 e periodici workshops sui ricorsi, che sono menzionati anche nella Comunicazione della Commissione europea.

Non vedo alcuna difficoltˆ per quanto riguarda lo scambio di informazioni rispetto a ricorsi transfrontalieri, lĠeventuale rimessione del ricorso allĠautoritˆ pertinente (quella del Paese da cui provengono i messaggi), lĠarmonizzazione delle prassi seguite da tutte le Autoritˆ di protezione dati. Su questi punti, mi sembra che non ci sia alcuna esigenza fondamentale di introdurre norme ulteriori.

Possiamo comunque incrementare questa cooperazione fra Autoritˆ nazionali giˆ sul piano amministrativo, attraverso la creazione di Intranet oppure scambi di dati, e potremmo forse riflettere su un nuovo quadro giuridico di cooperazione settoriale, per intensificarla ancora di pi.

Si potrebbe prendere ad esempio il regolamento comunitario n. 1/2003, che in materia di diritto della concorrenza istituzionalizza networks orizzontali (fra autoritˆ e potere giudiziario negli Stati membri, e tra Stati membri) e verticali (anche con la Commissione) e ipotizza altre forme di collaborazione bilaterale e multilaterale con Stati terzi.

Dunque, le difficoltˆ pi consistenti riguardano forse lĠeliminazione di ostacoli allo scambio di informazioni ed alla cooperazione con gli Stati terzi.

Dovremmo poi riflettere sulla possibilitˆ giuridica di:

      considerare responsabile in solido il soggetto in favore del quale  fatta la pubblicitˆ, quando non  identificabile il mittente della e-mail;

      valorizzare le responsabilitˆ di fornitori di servizi di comunicazione elettronica e il ruolo delle autoritˆ di regolamentazione in quel settore, per far s“ che le gravi e reiterate inosservanze della normativa sulla protezione dei dati, che rileva come uno dei requisiti fondamentali del servizio prestato, possano essere oggetto di un provvedimento di richiamo, sospensione o revoca dellĠautorizzazione a prestare il servizio, in base alla disciplina di recepimento delle direttive nn. 19, 20 e 21 del 2002.

Sul piano tecnico, la normativa sul servizio di identificazione delle linee telefoniche chiamanti di tipo digitale pone lĠinterrogativo se sia possibile introdurre anche nelle comunicazioni e-mail un servizio che permetta di rifiutare gratuitamente e automaticamente (senza sopportare i costi della loro ricezione) e-mail non incluse in una white-list aggiornata dallĠutente destinatario.

UnĠobiezione non trascurabile a questi sistemi di "whitelisting"  quella relativa al fatto che il "primo contatto" tra due utenti desiderosi di comunicare per mezzo di email dovrebbe a volte avvenire con una comunicazione "fuori banda", quindi con strumenti diversi dalla posta elettronica.

D'altra parte, per adottare misure realmente efficaci in Internet e che non rallentino l'efficienza dei protocolli e delle reti  conveniente attendere le iniziative in corso nelle sedi tecniche come lo IETF (Internet Engineering Task Force) e lo IAB (Internet Architecture Board) e che presumibilmente comporteranno proposte tecniche di sostanziali modifiche agli attuali protocolli di posta elettronica.

Giova ricordare, a questo proposito, che l'attuale protocollo SMTP (Simple Mail Transfer Protocol - RFC-821) risale nella sua prima formulazione all'agosto del 1982.

Interventi correttivi sulla base dell'attuale protocollo, pur apprezzabili e utili in questo momento, avrebbero la valenza di rimedi palliativi e temporanei in attesa di una ridefinizione dei protocolli che per portata e impatto non sarebbe comunque inferiore all'introduzione del "new generation IP" ovvero del protocollo IPv6. Lasciamo quindi questo compito ai tecnici.

Infine, vorrei tornare al suggerimento formulato da Mozelle Thompson, il quale giustamente sottolinea la necessitˆ di fare chiarezza sulla competenza e sui poteri degli organismi giudiziari e amministrativi, non soltanto nel settore della privacy e/o della protezione dei dati.

Roma 2 febbraio 2004