MP. Berlingieri: L’informazione commerciale non desiderata e lo spamming

L’informazione commerciale non desiderata e lo spamming

di
Mariapaola Berlingieri
(Avvocato, consulente giuridico del sito www.privacy.it)

Premessa

La protezione della sfera privata dell’individuo si è sviluppata, nel corso dei decenni e nei vari Paesi, sempre in stretta connessione con l’evoluzione tecnologica.

La stessa Convenzione di Strasburgo¹ nacque al fine di tutelare l’individuo dal trattamento dei dati in forma automatizzata², a dimostrazione del fatto che l’evoluzione tecnologica ha costantemente svolto un ruolo essenziale per la maturazione di un right to privacy.

La direttiva 95/46/CE³ sul trattamento dei dati personali, e la legge n. 675 del 31 dicembre 1996, che la recepisce nel nostro ordinamento, tuttavia, operano in direzione maggiormente garantista, tutelando i dati personali da qualunque tipo di trattamento, ivi compresi quelli effettuati su supporto cartaceo⁴.

Rimane, ad ogni modo, la necessità di considerare con particolare attenzione i rischi derivanti da un trattamento automatizzato ed ancor di più quelli derivanti dall’uso, a fini commerciali e non, delle reti telematiche come strumenti d’invasione della sfera personale dell’individuo.

L’informazione commerciale non desiderata, infatti, oltre ad essere fastidiosa e lesiva della sfera personale dell’individuo anche quando effettuata con mezzi di comunicazione "normali", produce, come andremo notando nel corso di queste riflessioni, effetti particolarmente deleteri se effettuata per mezzo di linee telematiche⁵.

2. Quando l’informazione commerciale non desiderata diventa spamming

Internet, dunque, offre la possibilità di amplificare gli effetti negativi di uno scorretto uso dei dati personali altrui.

Ciò è dovuto alla propria peculiare natura, che ha rappresentato, del resto, la sua stessa fortuna: Internet si basa su un sistema di commutazione a pacchetto, che permette la contemporanea effettuazione di più trasmissioni di dati. Internet, in sostanza, con le sue molteplici applicazioni, consente ad utenti ed operatori di comunicare e trasferire dati contemporaneamente verso più persone. E’ evidente, dunque, che risulta economicamente molto vantaggiosa sia l’attività di raccolta dei dati, sia quella di invio di materiale pubblicitario.

Le considerazioni che andremo svolgendo, perciò, saranno rivolte in generale all’informazione commerciale non desiderata ma, in particolare, all’invio di tali informazioni tramite e-mail, che, nella sua forma estrema e più odiosa, assume le caratteristiche del mail spamming.

Certamente, profili di pericolosità per la sfera privata dell’utente provengono praticamente da tutte le forme di direct marketing, cioè tutte quelle attività che, secondo la Raccomandazione n. R(85)20 del Consiglio d’Europa, permettano di offrire prodotti e servizi o di trasmettere ogni altro messaggio pubblicitario a segmenti di popolazione mediante la posta, il telefono o altri mezzi diretti, a scopo di informazione o al fine di sollecitare una reazione da parte della persona interessata. La caratteristica peculiare di questo strumento di informazione commerciale si rinviene nel fatto che i messaggi promozionali sono inviati previa catalogazione dei gusti e delle preferenze dei destinatari, tramite l’attività in gergo definita di "profilazione".

Proprio per questi motivi, come si vedrà innanzi, alcuni strumenti sono stati dal legislatore europeo e nazionale equiparati alla posta elettronica sotto il profilo degli accorgimenti da seguire per poter procedere al contatto con il potenziale cliente.

La posta elettronica rappresenta, ormai, uno degli strumenti più immediati di trasmissione di messaggi pubblicitari; soprattutto, lo strumento telematico è particolarmente adatto allo scopo se solo si considera la facilità con cui può procedersi alla raccolta di indirizzi sul Web⁶ e di molte altre informazioni⁷.

Lo spamming consiste nell’invio massiccio di messaggi di posta elettronica a carattere pubblicitario e commerciale, senza alcuna preventiva richiesta da parte del destinatario: si parla di veri e propri bombardamenti indiscriminati. Lo spamming, dunque, è sempre informazione commerciale non desiderata, mentre non sempre è vero il contrario.

I problemi derivanti da un’attività di questo tipo sono di diversa natura; è appena il caso di evidenziare che, per ricevere un e-mail, il destinatario sopporta un costo; che, spesso, l’invio in quantità massiccia di questi messaggi causa l’intasamento della casella postale di chi li riceve e, talvolta, delle stesse linee; che la lettura e l’eliminazione dei messaggi comportano un costo anche in termini di perdita di tempo.

Si osserva da parte di alcuni che, in fondo, lo spamming sarebbe equiparabile all’attività di volantinaggio nelle cassette postali "materiali", a proposito della quale nessuno ha mai seriamente sollevato questioni di lesione della privacy. Ma, a parte l’osservazione che anche il fatto di immettere puntualmente e sistematicamente messaggi pubblicitari nelle cassette postali costituisce un’intrusione nella sfera giuridica altrui, pure piuttosto fastidiosa secondo il grado di tollerabilità di ciascuno, è stato giustamente osservato che ricevere e-mail non richiesti equivarrebbe all’assurda ipotesi in cui qualcuno ci chiedesse di pagare una somma di danaro (sia pure irrisoria) per ogni volantino ricevuto. Sicuramente ciò susciterebbe l’irritazione di chiunque.

3. La legislazione italiana vigente

Una volta chiarite, dunque, le stranezze, le anomalie e la pericolosità del fenomeno, nonché il fatto che non si tratta di una presa di posizione solo teorica, passiamo ad esaminare il dettato normativo.

L’invio di informazioni pubblicitarie non desiderate coinvolge da un duplice punto di vista la sfera della riservatezza dell’individuo: da una parte, la correttezza e la liceità del trattamento dei dati personali; dall’altro, l’intrusione nella sfera privata altrui.

Come limpidamente esemplificava autorevole dottrina⁸, diverso è gestire un numero di fax di un’azienda rispetto al concreto invio del fax per fini di informazione commerciale: nel primo caso, ci si trova di fronte ad un mero trattamento di dati personali (e trattamento sarebbe anche la concreta digitazione del numero sulla tastiera, o la memorizzazione dello stesso in un database); mentre nel secondo si trascende la sfera del trattamento dei dati personali e si passa all’intrusione nella sfera giuridica altrui. A questo punto, la tutela offerta dalla normativa italiana sulla tutela dei dati personali non è più sufficiente.

La legge 675/1996, che ha recepito nel nostro ordinamento la direttiva 95/46/CE sulla protezione dei dati personali e che ha subito numerose modifiche ed adattamenti nel corso dei sei anni che ci separano dalla sua emanazione⁹ consente il trattamento di dati personali sulla base di una serie di principi fondamentali: i dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; devono essere esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati (diritto all’oblio)¹⁰

La legge, inoltre, pone come regola generale la raccolta del consenso informato al trattamento dei dati, documentato per iscritto (dunque il titolare del trattamento deve fornire una serie d’informazioni dettagliatamente descritte dall’art.10¹¹, e solo in seguito all’informativa l’interessato potrà prestare il proprio consenso, ai sensi degli artt. 11, 20, 28 della legge); il consenso non è valido se prestato in forma generica; l’interessato ha diritto di opporsi al trattamento illecito dei dati; nonché diritto di opporsi, sempre ed in ogni tempo, a prescindere dal motivo, all’invio di informazioni commerciali non desiderate¹² Questi, naturalmente, sono i principi fondamentali che interessano ai fini del discorso che si va tessendo, nel caso più elementare di dati personali di tipo comune¹³.

E’ appena il caso di ricordare che il Garante, per quanto riguarda invece il trattamento di dati sensibili, ha ritenuto, in un caso non troppo remoto, di non poter concedere l’autorizzazione all’utilizzo degli stessi per finalità di marketing¹⁴. E’ altamente probabile, dunque, che lo stesso orientamento verrà seguito anche nei futuri, eventuali casi che dovessero essere posti all’attenzione dell’Autorità. L’informazione commerciale effettuata tramite trattamento di dati sensibili, perciò, allo stato attuale non appare conforme alla normativa italiana sulla privacy neppure con il consenso espresso, informato e reso per iscritto dall’interessato.

Tornando ai dati comuni, in generale è necessario, affinché il trattamento sia lecito, che l’interessato sia stato informato ai sensi dell’art.10 ed abbia prestato il proprio consenso al trattamento delle informazioni personali. E’ possibile, però, che il consenso non debba essere raccolto se si rientra in uno dei casi elencati dall’art.12 della legge¹⁵ tipico esempio, quando il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque¹⁶ o dati relativi allo svolgimento di un’attività economica¹⁷.

In questi casi, fermo restando l’obbligo di fornire l’informativa all’interessato al momento della raccolta o al più tardi al momento della prima comunicazione, se i dati sono raccolti presso terzi, si potrà procedere al trattamento senza alcun consenso dell’interessato. A queste condizioni il dato è trattato lecitamente.

E’ interessante rammentare, a questo punto, quanto evidenziato dal Garante nella recente Newsletter del 10-16 febbraio 2003, ove ha ribadito che gli indirizzi di posta elettronica non sono liberamente utilizzabili da chiunque per il solo fatto di trovarsi in rete. Secondo il Garante, la vasta conoscibilità degli indirizzi e-mail che Internet consente, non rende lecito l’uso di questi dati personali per scopi diversi da quelli per i quali sono presenti on line. Gli indirizzi e-mail non sono, insomma, "pubblici" allo stregua di quelli presenti sugli elenchi telefonici. La circostanza che l’indirizzo e-mail sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti non lo rende, infatti, liberamente utilizzabile e non autorizza comunque l’invio di informazioni, di qualunque genere, senza un preventivo consenso. L’Autorità ha sottolineato che l’eventuale disponibilità in Internet di indirizzi di posta elettronica va sempre e comunque rapportata alle finalità per cui essi sono pubblicati sulla rete.

Si diceva però poc’anzi dei limiti che derivano dalla legge sul trattamento dei dati personali; tali limiti consistono proprio nel fatto che la legge 675/1996 è una legge che si occupa della protezione dei dati personali più che della violazione della sfera privata dell’individuo.

Quindi il dato personale potrebbe essere trattato in maniera perfettamente lecita, come nell’esempio già fatto del dato disponibile su pubblici registri consultabili da chiunque (nella cui definizione, come appena detto, non rientra Internet, ove sono reperibili indirizzi non considerabili pubblici); ma ciò non significa che, sulla base della liceità del trattamento di quel dato personale, si possa giungere ad un’inaccettabile intrusione nella sfera privata dell’individuo.

In sostanza, fermo restando il diritto ad opporsi sempre ed in ogni tempo all’invio di materiale pubblicitario effettuato per mezzo di qualsivoglia strumento, diritto di cui l’interessato deve essere chiaramente informato nell’informativa di cui all’art.10 della legge¹⁸, il legislatore italiano e quello europeo si sono preoccupati di stabilire alcuni casi in cui il consenso a ricevere materiale pubblicitario deve essere prestato preventivamente ed espressamente.

Esistono, infatti, strumenti considerati particolarmente invasivi e che, soprattutto, creano un dispendio in termini di tempo o di danaro inaccettabile per il destinatario dei messaggi, che non abbia dato il proprio assenso.

In particolare, il legislatore italiano si è occupato della questione dei fax con il decreto legislativo 171/1998¹⁹, laddove ha disposto che l’uso di tale strumento è consentito solo con il consenso espresso dell’abbonato. Anche in questo caso, la violazione è punita con la sanzione penale di cui all’art. 35 della l. 675/1996. La stessa regola è prevista per ogni altro sistema automatizzato di chiamata senza intervento di un operatore.

Un’ulteriore disposizione utile ai nostri fini può essere rinvenuta all’interno del d.lgs. 22 maggio 1999 n.185, recante disposizioni per la protezione dei consumatori in materia di contratti a distanza²⁰ con cui il legislatore ha formalmente sancito l’illegittimità della prassi di invio di e-mail contenenti informazioni commerciali in mancanza del consenso preventivo del destinatario.

Ma non solo. Il d. lgs. 185/1999 ha introdotto un elenco di strumenti particolarmente invasivi²¹ in cui risulta compreso anche il telefono, che obbligano ad una tutela più forte del destinatario. Per tutti gli altri strumenti di comunicazione a distanza, qualora consentano una comunicazione individuale, è ribadito l’opposto principio secondo cui gli stessi possono essere impiegati dal fornitore se il consumatore non si dichiara esplicitamente contrario²².

Occorre dunque diversificare i due diversi profili, della tutela del dato personale e della lesione della sfera giuridica altrui. La legge richiede, infatti, per un verso che il dato personale sia trattato col consenso dell’interessato, a meno che il dato stesso sia disponibile su pubblici registri o ricorra una delle altre esenzioni; per l’altro verso, che le telefonate e l’invio di e-mail a fini di promozione commerciale nei confronti di consumatori siano effettuati col loro preventivo consenso.

Le aziende che si occupano professionalmente di direct marketing dovranno, perciò, prestare particolare attenzione anche allo strumento telefonico²³. In altre parole, non è sufficiente che il numero dell’utenza telefonica sia disponibile sull’elenco degli abbonati per poter contattare l’abbonato e offrire proposte commerciali. Dovrà, invece, essere raccolto un consenso espresso al contatto stesso. Se non si procede in tal modo, il trattamento dei dati personali potrà anche risultare, a certe condizioni, lecito e corretto; ma ci troveremo di fronte ad una violazione della sfera privata dell’individuo, punita con la sanzione amministrativa di cui si parlerà innanzi.

Occorre precisare, a questo punto, che il decreto di cui trattasi concerne la tutela del consumatore nei contratti a distanza, in quanto soggetto "debole". E per "consumatore" deve intendersi, ai sensi del suddetto decreto²⁴, la persona fisica (e solo fisica) che agisce per scopi non riferibili all’attività professionale da lui eventualmente svolta: restano dunque fuori dalla previsione normativa, oltre ad associazioni e società, anche imprese e aziende e tutti coloro che, a titolo personale, abbiano stipulato un contratto (o siano comunque in contatto "a distanza" con un commerciante) per scopi attinenti all’attività professionale.

La definizione fornita dal d. lgs. 185/1999 è identica a quella del codice civile²⁵ è appena il caso di rammentare, però, che la giurisprudenza sta procedendo ad un progressivo ampliamento del concetto di consumatore, finendo con il ravvisare la linea di confine tra professionista e consumatore nella circostanza che la stipulazione del contratto sia atto tipico della professione o no²⁶.

Nonostante questi sforzi della giurisprudenza di merito, rimangono comunque in vita gli aspetti forse più deleteri del fenomeno dell’informazione commerciale non desiderata e dello spamming particolarmente, vale a dire i danni alle imprese – in termini di danaro, ma anche in termini di tempo lavorativo sottratto. Per i soggetti non consumatori, infatti, e quindi sicuramente per le aziende e le persone giuridiche in generale, l’unico divieto che rimane in piedi è quello del d.lgs. 171/1998, concernente i fax ed i sistemi automatizzati di chiamata senza l’intervento di un operatore²⁷.

Le sanzioni previste per la violazione del divieto di cui all’art. 10 d.lgs. 185/1999 è quella amministrativa pecuniaria dell’ammenda compresa tra uno e dieci milioni di lire, passibile di aumento sino al doppio in caso di recidiva (e nel caso di commercianti che adoperano lo spamming come strumento per pervenire alla conclusione di un contratto, la recidiva potrebbe rappresentare la regola).

Il Garante per la protezione dei dati personali, dal canto suo, ha confermato l’avvio di un monitoraggio sui siti Internet italiani²⁸, per capire quali sono gli strumenti di profilazione messi in atto e fino a che punto gli utenti vengono messi in condizione di sapere di essere monitorati da un "grande occhio elettronico". A conferma di ciò, negli ultimi mesi sono consistentemente aumentati i provvedimenti di tipo amministrativo nei confronti delle aziende che attuano una politica di abuso del dato personale e della sfera privata dell’individuo; in particolare, ci sono stati diversi provvedimenti legati proprio al fenomeno dell’invio di informazione commerciale non desiderata²⁹.

Va segnalato, d’altra parte, che il Garante per la protezione dei dati personali ha avviato la procedura per l’adozione di alcuni codici deontologici³⁰, che in particolare riguardano gli operatori di Internet e l’attività di marketing diretto. Tramite tali codici, la cui adozione sarà concertata con la stessa Autorità Garante, sarà possibile concordare nuove regole applicabili, si auspica, dal più ampio numero possibile di operatori³¹.

4. La legislazione europea

Il legislatore europeo, dal canto suo, si è occupato di spamming nell'ambito della direttiva sul commercio elettronico, attualmente in via di recepimento nel nostro ordinamento³². I principi fondamentali presenti, tuttavia, possono già essere presi in considerazione. L'articolo 7 della direttiva stabilisce che le comunicazioni commerciali non sollecitate, inviate per posta elettronica, devono essere identificabili come tali, in modo chiaro e inequivocabile, fin dal momento in cui il destinatario le riceve. Nello stesso articolo si legge, inoltre, che gli Stati membri dovranno adottare i provvedimenti necessari per far sì che gli operatori che inviano per posta elettronica comunicazioni commerciali non sollecitate consultino regolarmente e rispettino i registri negativi in cui possono iscriversi le persone fisiche che non desiderano ricevere tali comunicazioni.

All’epoca, dunque, si scelse la strada dell’opt-out preventivo, vale a dire quella di permettere agli utenti di inserire i propri dati in una "lista negativa", manifestando così la propria volontà di non ricevere posta elettronica commerciale. In tal modo le aziende, consultando il database, possono conoscere i dati delle persone che non vogliono ricevere informazioni commerciali e cancellarle dalla propria lista di destinatari.

Tale previsione sui registri negativi si è rivelata necessaria in quanto la situazione europea è ibrida: solo cinque Stati Membri, tra cui, come si è visto, l’Italia, hanno adottato un regime di consenso preventivo. La scelta viene, dunque, demandata agli Stati Membri, salvo l’obbligo di rispettare il requisito minimo comune dei registri negativi se lo Stato non vuole imporre un consenso preventivo.

Più di recente, il tema è stato oggetto di ampio dibattito nell’ambito del travagliato iter di approvazione della nuova direttiva sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, dir. 2002/58/CE³³, che ha visto, ancora una volta, contrapposte tre diverse correnti di pensiero: la prima prevedeva di lasciare la scelta sulla regolamentazione dell'opting ad ogni singolo Stato Membro; la seconda di armonizzare l'opt-in in ambito europeo; la terza una soluzione di compromesso basata sulla fissazione di un numero massimo di e-mail non sollecitati da spedire. La scelta tra le tre possibilità nascondeva, naturalmente, una serie di importanti motivazioni politiche ed economiche³⁴.

La direttiva in discorso ha visto la luce nel mese di luglio scorso, quando i contrasti sono stati sanati per mezzo di quella scelta che è stata salutata, da molti, come una vittoria del diritto alla riservatezza dell’individuo. La direttiva dovrà essere recepita dagli Stati Membri entro il 31 ottobre 2003, ed in sostanza adegua il contenuto della dir. 97/66/CE agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica. La dir. 97/66/CE è espressamente abrogata a partire dalla data prevista per il recepimento della nuova direttiva³⁵.

Molti i settori regolamentati. Di particolare interesse ai fini del nostro discorso risulta però essere l’art.13 sulle comunicazioni indesiderate, che in pratica distingue gli strumenti astrattamente utilizzabili in strumenti più o meno invasivi, anche sulla base della facilità di invio e dei contenuti costi per il mittente e, viceversa, dell’onerosità per il destinatario³⁶.
Ancora una volta, dispositivi automatici di chiamata, telefax e posta elettronica sono accomunati tra quegli strumenti particolarmente invasivi che richiedono il consenso dell’abbonato che sia una persona fisica. A questi strumenti sono aggiunti i messaggi SMS³⁷.

La soluzione raggiunta è stata la seguente: quando i dati relativi alla posta elettronica sono ottenuti nel contesto di una vendita di prodotti o servizi, l’azienda venditrice può usare quei dati a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente ed in maniera agevole, all’uso di tali dati.

Una soluzione di compromesso, dunque, sul versante "spamming", che non è propriamente esatto definire come una "vittoria dell’opt-in".

Da una parte, vige una presunzione relativa alla volontà di chi ha acquistato prodotti o servizi ad essere interessato alle offerte promozionali dell’azienda venditrice; dall’altra, rimane fermo il diritto di opposizione in ogni momento.

In questo modo si vorrebbe eliminare il fenomeno degli "arraffatori" di indirizzi e-mail dal Web, quei soggetti cioè che, tramite gli strumenti sofisticatissimi cui si è fatto cenno, prelevano senza scrupoli di sorta indirizzi in qualunque spazio di Internet; eliminare dunque gli operatori che in maniera più sconsiderata fanno uso di dati personali che, pur trovandosi in luoghi "pubblici", pubblici non sono³⁸

Per il resto, a livello europeo rimane del tutto possibile, in linea generale e salve le ipotesi espressamente previste di necessario consenso preventivo, utilizzare i dati altrui per finalità di marketing a prescindere dall’autorizzazione dell’interessato.

In ogni caso, è espressamente vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l’identità del mittente, o senza fornire un valido indirizzo cui il destinatario possa manifestare la sua volontà di non ricevere alcun messaggio promozionale.

Altri aspetti interessanti della direttiva riguardano la compilazione degli elenchi telefonici ed il funzionamento di quegli strumenti elettronici che permettono di compiere funzioni inverse, di trovare, cioè, gli altri dati disponibili sull’elenco relativi ad una persona disponendo solo di uno, diverso dal nome.

Gli Stati Membri assicureranno che gli abbonati siano informati prima dell’inserimento nell’elenco telefonico delle finalità e delle possibilità di utilizzo dei dati; gli abbonati potranno decidere se e quali dati dovranno essere inseriti nell’elenco, limitatamente agli scopi dichiarati dal fornitore. La direttiva lascia i singoli Stati liberi di decidere se debba essere chiesto un ulteriore consenso per tutti gli altri scopi, diversi da quelli di ricerca di numeri telefonici e indirizzi delle persone.

In Italia, già da qualche mese l’Autorità Garante per la protezione dei dati personali e quella per le Telecomunicazioni hanno stabilito nuove regole per gli elenchi telefonici, che appaiono del tutto in linea con la nuova direttiva, se non più garantiste, tramite un recentissimo provvedimento congiunto³⁹ per la regolamentazione dell’inserimento dei dati negli elenchi telefonici. Il principio seguito è quello secondo cui l’inserimento negli elenchi dovrà essere temporalmente successivo al consenso espresso dell’interessato, che dovrà preventivamente essere informato anche sulle finalità della raccolta. Ciò anche in vista della creazione di un apposito elenco telefonico per i numeri cellulari.

Inoltre, è stato deciso che sugli elenchi stessi, a fianco di ciascun nome, sarà inserito un simbolo indicativo della disponibilità dell’utente a ricevere informazioni commerciali, a definitiva conferma della necessità, nel nostro ordinamento, del consenso espresso del consumatore a ricevere telefonate di questo tipo.

5. Controtendenza: e se lo spamming diventa antieconomico?

Negli ultimi anni si registra un’inversione di tendenza nell’atteggiamento degli operatori commerciali, che cominciano finalmente a comprendere l’importanza di una politica improntata alla correttezza nei confronti dell’utente.

Ciò, anche grazie al fatto che l’idea di una legislazione dettagliata sul trattamento dei dati personali a livello nazionale sta prendendo piede in quasi tutti i paesi del mondo. Il modello europeo della regolamentazione legislativa, infatti, secondo quanto è emerso nella Conferenza Internazionale di Venezia "One World One Privacy"⁴⁰, che ha visto riunite tutte le Autorità Garanti per la sicurezza dei dati del mondo, sta imponendosi a discapito del modello americano, o meglio statunitense, che prevede attualmente una politica sulla privacy basata sull’autoregolamentazione. Anche negli Stati Uniti, tuttavia, comincia a cogliersi l’importanza di un rapporto tra produttore e cliente basato sulla trasparenza.

Il problema, da sempre all’attenzione degli "addetti ai lavori", era già stato evidenziato da parte di autorevoli autori⁴¹ in termini di un necessario rapporto di fiducia col consumatore.

Tale approccio è stato confermato da un interessante studio effettuato in sede comunitaria⁴², i cui risultati, pubblicati nel gennaio 2001⁴³, hanno definito lo spamming come "malattia infantile dell’e-mail marketing". Secondo lo studio, il fenomeno è in via di regressione nell’ultimo biennio in tutto il mondo, tanto per motivi economici, quanto di scarso rendimento sull’immagine dell’azienda, ma anche per una questione di sopravvivenza dell’Internet, siccome si paventa addirittura il rischio di saturazione derivante dall’invio massiccio di posta elettronica⁴⁴. Lo studio, pur essendo di matrice europea, si occupa anche della realtà dell’America settentrionale e mostra come pure le organizzazioni statunitensi stiano cambiando la loro politica.

Nel nostro Paese, anche sulla scorta della citata direttiva europea 2000/31/CE, che impone dei registri negativi ove gli utenti possano registrarsi per non ricevere proposte commerciali, da mesi si parla di progetti che dovrebbero raggiungere questo scopo. Uno di questo è "Cancellami", nato nel luglio del 2001 su iniziativa dell’AIDiM in collaborazione con Poste Italiane e vari operatori del direct marketing italiano; le liste dei soggetti iscritti dovrebbero essere vendute alle aziende, che risparmierebbero in questo modo tempo, denaro e probabili noie legali, mentre guadagnerebbero in immagine e credibilità.

Occorre ricordare, inoltre, che l’articolo 8 delle regole di Netiquette⁴⁵ impone di non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito. La Naming Authority italiana, per assicurare l'applicazione di tale disposizione, ha anch’essa istituito una sorta di lista nera dello spamming, ossia uno spazio presso il proprio sito⁴⁶ ove sono presenti tutte le segnalazioni di (presunte) violazioni delle norme di Netiquette provenienti da privati cittadini⁴⁷. La Naming Authority prende contatto con i responsabili, nonché con i loro providers, per segnalare la questione e permettere il contraddittorio. La pubblicazione della segnalazione di abuso nella lista creata sul sito della Naming Authority avviene, comunque, senza attendere eventuali controdeduzioni.

Inoltre, gli stessi providers hanno ormai preso contromisure per evitare che i propri clienti ricevano e-mail indesiderati. Molti si sono dotati di filtri antispam, ossia di software che respingono determinati messaggi di posta elettronica classificati come indesiderati.

Di solito, questo meccanismo viene attivato su segnalazione di un utente e dopo aver verificato che l'attività di spamming è stata inserita nella black-list della Naming Authority. In questo modo, tutti i messaggi provenienti dal presunto reo vengono cancellati e non recapitati.

Spesso però l'attivazione di tale filtro avviene all'insaputa degli utenti del provider, i quali possono così perdere messaggi di posta elettronica (desiderati) senza rendersene conto; a ciò si aggiunga che al mittente non viene inviata alcuna comunicazione di mancata trasmissione. Può quindi accadere che, a causa della segnalazione di un utente, una certa impresa venga inserita nella black-list della Naming Authority e che il provider attivi il filtro antispam nei suoi confronti.

E’ evidente, a questo punto, che tale sistema può dar luogo a distorsioni e ad effetti non desiderati, che potrebbero addirittura ledere il principio dell’inviolabilità della corrispondenza (anche telematica) costituzionalmente sancito.

Considerazioni conclusive.

Il quadro internazionale offre, dunque, diversi spunti di riflessione in considerazione dell’importanza economica che il dato personale ha ormai assunto. Lo spamming e l’informazione commerciale non desiderata effettuata tramite altri strumenti di comunicazione, cagionano, secondo questo nuovo metodo d’analisi, danni in termini economici e di immagine alle imprese, oltre a quelli evidenti cagionati ai destinatari.

Nell’ultimo periodo si è cominciato a parlare di "E-trasparency"⁴⁸, proprio per sottolineare l’importanza di un approccio all’utente improntato alla chiarezza ed alla correttezza. Tale atteggiamento trova alcuni sostenitori anche negli Stati Uniti, dove la Federal Trade Commission⁴⁹ ha di recente proposto un registro nazionale per l’opt-out, tuttora inesistente oltreoceano⁵⁰.

Molte sono, inoltre, le proposte di classificare i siti attribuendo una sorta di "bollino blu" a quelli che rispettano un nucleo fondamentale di principi sulla tutela della privacy.

Il problema rimarrà, però, in piedi finché non sarà possibile chiarire e stabilire, a livello internazionale e in modo uniforme, quali sono i requisiti minimi da rispettare per ottenere un simile marchio di qualità.

Identica, necessaria soluzione si pone per la questione "opt-in - opt-out", che rappresenta per ora un problema tutto europeo.

Cosenza, febbraio 2003

NOTE

1. Conv. 108/1981, ratificata in Italia con la legge 21 febbraio 1989, n. 98.
2. La legge 21 febbraio 1989 n.98 , "Ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981", al secondo Considerando emblematicamente reca: "Considerando che è auspicabile estendere la protezione dei diritti e delle libertà fondamentali di ciascuno, in particolare il diritto al rispetto della vita privata, tenuto conto dell’intensificazione della circolazione attraverso le frontiere di dati a carattere personale oggetto di elaborazioni automatizzate"; oggetto e scopo della legge sono (art.1): "quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati")".
3. Del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati.
4. Art. 1 della legge 675/1996: si intende per "trattamento" "qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati"; inoltre, l’art. 5 recita: "Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati è soggetto alla medesima disciplina prevista per il trattamento effettuato con l'ausilio di tali mezzi".
5. Vd. "Considerando" n. 6 dir. 2002/58/CE (a proposito della quale vd. infra): "L’Internet ha sconvolto le tradizionali strutture del mercato fornendo un’infrastruttura mondiale comune per la fornitura di un’ampia serie di servizi di comunicazione elettronica. I servizi di comunicazione elettronica accessibili al pubblico attraverso l’Internet aprono nuove possibilità agli utenti ma rappresentano anche nuovi pericoli per i loro dati personali e la loro privata".
6. Esistono attualmente moltissimi programmi, detti spamware, appositamente creati ed utilizzati per rastrellare indirizzi su Internet, in spazi più o meno pubblici (mail grabbing). Va ricordato come il Gruppo europeo dei Garanti, con la già citata Raccomandazione 17 maggio 2001, indirizzata al Consiglio d’Europa, alla Commissione, al Parlamento europeo ed agli Stati Membri, che fissa alcuni requisiti minimi per la raccolta di dati personali on line, ha espressamente sancito l’illiceità di tali forme di raccolta di dati, in quanto i dati rinvenuti in alcuni spazi web (tipo newsgroup, chat etc.) non sono da considerarsi "pubblici". Si veda pure, più di recente, il provvedimento del Garante italiano (Newsletter 24 giugno 2002), in cui veniva ribadito che la presenza di un indirizzo e-mail in un sito non autorizza l’invio di pubblicità. Il caso era quello di un docente che si era visto recapitare un e-mail pubblicitario al proprio indirizzo di posta elettronica, presente, per finalità istituzionali, sul sito dell’università presso la quale insegna. Il Garante ha ribadito che la pubblicità di alcuni indirizzi, resi conoscibili attraverso i siti Internet, va collegata agli scopi per i quali questi indirizzi vengono resi noti. I dati posti a disposizione del pubblico per circoscritte finalità, ad esempio di tipo istituzionale come nel caso in esame, non sono, infatti, liberamente utilizzabili per l’invio generalizzato di e-mail. E questo anche quando gli e-mail non abbiano un contenuto commerciale o pubblicitario. Per poter procedere all’invio dell’e-mail all’indirizzo di posta elettronica del docente, la società avrebbe dovuto, dunque, ottenerne prima il consenso. Di conseguenza, a seguito della richiesta dell’interessato la società non poteva limitarsi ad inserire il nominativo del ricorrente in una lista di soggetti non interessati all’invio di messaggi pubblicitari, ma aveva l’obbligo di cancellare i dati del ricorrente ed astenersi in futuro dall’utilizzare quei dati per scopi commerciali l’indirizzo e-mail presso l’università.
7. Da questo punto di vista, strumentalmente connessi al fenomeno dello spamming sono quegli strumenti, cui poc’anzi si è fatto cenno, quali cookies, data log, cimici-web, contratti-capestro: si tratta, infatti, di forme di raccolta di dati personali spesso illecite in quanto quasi mai si procede ad una corretta informazione degli utenti sulle finalità della raccolta stessa. L’eventuale consenso prestato dall’interessato molto spesso risulta viziato in radice proprio in quanto non informato.
8. G. Buttarelli, "Banche dati e tutela della riservatezza. La privacy nella società dell’informazione", Giuffrè, 1997.
9. Un breve cenno merita il d.lgs. n.467 del 28 dicembre 2001, recante disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali a norma dell’art. 1 della legge 24 marzo 2001, n. 127, ultima fonte normativa in termini temporali a modificare il testo della legge 675/1996.
10. Questi principi fondamentali sono enunciati nell’art. 9 della lege 675/1996; il mancato rispetto degli stessi determina un comportamento illecito, che fa sorgere in capo all’interessato il diritto al risarcimento del danno, anche non patrimoniale, ai sensi degli artt. 18 e 29, comma 9, della legge 675/1996.
11. Ai sensi dell’art. 10, primo comma, della legge 675/1996, "L'interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 13; f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’articolo 13, indicando il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco aggiornato dei responsabili".
12. Ai sensi dell’art. 13, comma 1, lett. e) della legge 675/1996, l’interessato ha diritto "di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto."
13. La legge 675/1996 distingue, infatti, i dati personali in "comuni" e "sensibili"; questi ultimi sono tassativamente indicati dall’art.22 della legge, che recita: "I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante". Per i dati sensibili, dunque, gli accorgimenti dovranno essere maggiori: autorizzazione del Garante, generale o ad hoc, e consenso scritto ad substantiam.
14. Si veda il provvedimento contenuto nella newsletter del 12.12.2000, in cui il Garante non ha autorizzato una società che opera nel settore dell'e-commerce a raccogliere ed utilizzare per alcune finalità di marketing i dati sensibili, in particolare sullo stato di salute e la vita sessuale dei suoi clienti, in quanto la schedatura di informazioni così delicate per usi di profilazione e proposte commerciali in base ai prodotti acquistati violerebbe la privacy delle persone, nonostante il consenso acquisito. La società aveva chiesto all'Autorità l'autorizzazione a trattare i dati sensibili dei clienti per tutta una serie di utilizzazioni quali, ad esempio, analisi di marketing statistica sui dati di vendita per ciascun prodotto e cliente; creazione di profili dei clienti soprattutto in base ai prodotti acquistati; proposte commerciali e di vendita sulla base delle tipologie di acquisto effettuate da ciascun cliente; comunicazione dei dati ad altre società del gruppo. L'Autorità ha precisato che la richiesta della società relativamente alle finalità diverse da quella della semplice gestione degli ordini risulterebbe in contrasto con i principi di proporzionalità, pertinenza e non eccedenza rispetto allo scopo complessivo di prestazione di un servizio e determinerebbe uno squilibrio a danno degli interessati che non può essere colmato con il consenso degli stessi interessati. Il Garante ha anche precisato che le statistiche possono essere effettuate solo con dati anonimi.
15. Per quanto riguarda il trattamento. I casi di esclusione del consenso, infatti, sono lievemente differenti per la comunicazione e diffusione dei dati, ovvero per il trasferimento dei dati al di fuori dell’Unione Europea; in queste ipotesi bisognerà considerare, invece, rispettivamente gli artt. 20 e 28.
16. Art.12, lett. c) legge 675/1996.
17. Art. 12, lett. f) legge 675/1996.
18. Si veda il combinato disposto dell’art. 10, lett e), ed art. 13 lett. e) della legge 675/1996.
19. Già menzionato. L’art. 10 del decreto recita: "L'uso di un sistema automatizzato di chiamata senza intervento di un operatore o del telefax per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, è consentito con il consenso espresso dell'abbonato".
20. Adottato in attuazione della dir. 97/7/CE del 20 maggio 1997, riguardante la protezione dei consumatori in materia di contratti a distanza, che doveva essere recepita dagli Stati Membri entro il 21 maggio 2000.
21. Art. 10, primo comma, d.lgs. 185/1999: "L'impiego da parte di un fornitore del telefono, della posta elettronica di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax, richiede il consenso preventivo del consumatore".
22. L’allegato 1 del d.lgs. 185/1999 contiene un elenco (meramente indicativo) di quegli strumenti che vanno annoverate tra le tecniche di comunicazione a distanza: stampati senza indirizzo; stampati con indirizzo; lettera circolare; pubblicità stampa con buono d'ordine; catalogo; telefono con intervento di un operatore; telefono senza intervento di un operatore (dispositivo automatico di chiamata, audiotext); radio; videotelefono (telefono con immagine); teletext (microcomputer, schermo di televisore) con tastiera o schermo sensibile al tatto; posta elettronica; fax; televisore, (teleacquisto, televendita). Ad ogni modo, è strumento di comunicazione a distanza contemplata dal decreto "qualunque mezzo che, senza la presenza fisica e simultanea del fornitore e del consumatore, possa impiegarsi per la conclusione del contratto tra le dette parti" (art. 1 lett.d del decreto).
23. Connesso ma differente dal marketing telefonico è il fenomeno salito agli onori della cronaca come "Servizio Gratistel". Della vicenda si è parlato animatamente diversi mesi fa: una società intendeva attivare in Italia un servizio che avrebbe permesso, mediante la composizione di un prefisso seguito da un codice di accesso personale, di effettuare gratuitamente alcune chiamate telefoniche nelle quali erano trasmessi messaggi pubblicitari. Il servizio prevedeva che l'utente rilasciasse alla società una serie di informazioni personali (relative, ad esempio, alla famiglia, al lavoro, agli hobby e agli sport praticati, ai propri consumi, gusti e preferenze) allo scopo di calibrare e personalizzare i messaggi pubblicitari a seconda del soggetto chiamante e dell'ora della chiamata. Il Garante per la protezione dei dati personali ha chiesto alla società informazioni e documenti, riguardanti in particolare le tipologie di dati che si intende acquisire, le modalità e le logiche della loro futura utilizzazione e conservazione, l'ambito di divulgazione dei dati stessi anche all'esterno della società e sulle misure e gli accorgimenti che devono essere adottati per tutelare i diritti degli interessati (informativa, consenso, misure di sicurezza, ecc.). L’attività, a certe condizioni di chiarezza e trasparenza, avrebbe potuto non essere in contrasto con la normativa italiana sulla tutela dei dati personali, proprio come i contratti di accesso gratuito ad Internet (cfr. Comunicati stampa del Garante per la protezione dei dati personali del 22.3.99, 3.11.99, 12.11.99, 13.11.99, 10.12.99, 11.12.99).
24. Art. 1, lett. b) d. lgs. 185/1999.
25. Art. 1469bis, secondo comma, cod. civ.
26. Vd. Trib. Roma, sent. 20 ottobre 1999: "E’ consumatore anche colui che acquista un bene o richiede la prestazione di un servizio nel quadro dell’attività professionale svolta, qualora la stipulazione del relativo contratto non sia inquadrabile tra le manifestazioni di tale attività (nella specie, si è ritenuto consumatore uno scultore che aveva stipulato un contratto di trasporto per far pervenire ad un concorso una sua opera)". In: Foro italiano 2000, I, pagg. 645 sgg, con nota di G. Lener. Nella motivazione della sentenza si legge anche una chiara esemplificazione dell’interpretazione che il Tribunale di Roma fornisce del secondo comma dell’art. 1469 bis c.c.: "Esemplificando, secondo tale criterio è consumatore ai sensi della normativa in esame anche il mediatore immobiliare che acquista un computer con l’intenzione di destinarlo alla sua attività, ovvero (avvicinandoci al caso di specie) l’avvocato che affida ad un corriere una lettera diretta ad un cliente, perché tali contratti sono al di fuori dell’oggetto dell’attività professionalmente svolta dai predetti (ovvero non sono diretti a realizzarne in via immediata lo scopo), pur essendo ad essa strumentalmente collegati". La sentenza concludeva per l’applicabilità, al contratto suddetto, della normativa di cui agli artt. 1469 bis sgg. c.c., essendo il contratto stato concluso "tra un professionista e una persona fisica, l’attore, al quale deve attribuirsi la qualifica di consumatore ai sensi della normativa stessa, non rientrando la conclusione di un contratto di tal genere nel quadro della sua attività di scultore".
27.L’art.1 del d.lgs. 185/1999 e l’art. 1469 bis c.c. sono infatti chiari nel parlare di "persone fisiche".
28. Già dal settembre 2001. Si veda il comunicato del Garante del 3.9.2001.
29. Vd. alcuni casi risolti dal Garante per la protezione dei dati personali legati all’invio di e-mail indesiderati (Newsletter del 13 maggio 2002) o al marketing telefonico (Newsletter del 6 ottobre 2000, 12 marzo 2001). E’ stato, inoltre, affermato il principio secondo cui le imprese che utilizzano dati personali per l'invio a domicilio di materiale pubblicitario devono provvedere all'aggiornamento dei nominativi contenuti negli archivi e nelle mailing list (cfr. Newsletter del 18 aprile 2000).
30. Cfr. deliberazione n.2 del 10 aprile 2002 del Garante per la protezione dei dati personali, nonché l’art. 20, comma 2, del d.lgs. n. 467/2001.
31. Si consideri che, ai sensi dell’art. 20, comma 3, del d.lgs. n. 467/2001, il rispetto delle disposizioni contenute nei codici deontologici sopra indicati, che saranno pubblicati sulla Gazzetta Ufficiale della Repubblica italiana a cura del Garante, costituirà condizione essenziale per la liceità del trattamento dei dati.
32. Si tratta della dir. 2000/31/CE dell’8 giugno 2000, in G.U. CE L178 del 17 luglio 2000, da recepire entro il 17 gennaio 2002. La legge 1 marzo 2002 n. 39 (cd. Legge comunitaria 2001), all’art.31, ha dato delega al Governo per la sua attuazione, tramite l’emanazione di un decreto delegato. Ricordiamo inoltre la già citata direttiva 97/66/CE sulla tutela della vita privata nel settore delle telecomunicazioni, in applicazione della quale è stato emanato il d.lgs. 171/1998.
33. Dir. 2002/58/CE del 12 luglio 2002, pubblicata sulla G.U. CE n. L201 del 31luglio 2002.
34. Gli operatori del Direct Marketing e, per essi in Italia principalmente l’AIDiM (Associazione Italiana per il marketing interattivo, nata nel 1984 per tutelare e promuovere la crescita del mercato della comunicazione interattiva e diretta; AIDiM sostiene l’autodisciplina ed il rispetto delle regole che disciplinano il mercato; aderiscono ad AIDiM aziende di grandi, medie e piccole dimensioni, le agenzie pubblicitarie e di direct marketing e gli enti non profit) e la FEDMA, propendevano per un sistema aperto che potesse maggiormente garantire lo sviluppo e la diffusione del commercio elettronico, contro un sistema che, a loro dire, sarebbe giunto, invece, a comprimere gli scambi commerciali e, soprattutto, avrebbe spinto le imprese di Direct Marketing a stabilire il loro business fuori dall’Europa. Il sistema di opt-out era sostenuto come espressione della libertà di manifestare il proprio pensiero attraverso mezzi di comunicazione telematici, oltre che del diritto di porre in essere corrette pratiche commerciali. Si veda, al riguardo, il comunicato stampa AIDiM 12 luglio 2001, disponibile sul sito www.interlex.it. I sostenitori dell'opt-in difendevano invece il diritto alla privacy dei singoli utenti: l'opinione da questi espressa era che la tutela della sfera privata dell’individuo, nel caso dello spamming, poteva essere resa effettiva solo se il destinatario della posta elettronica avesse prestato un consenso preventivo ed espresso al ricevimento della stessa; ma anche, e forse soprattutto, solo a condizione che le informative fornite dalle aziende fossero esaustive e corrette. Inoltre, i sostenitori dell’opt-in esponevano anche la tesi della morte dell’e-mail come mezzo di comunicazione personale, nel caso si fosse accettato il principio dell’opt-out, in quanto ciascuno avrebbe costantemente visto la propria casella di posta intasata da messaggi indesiderati e sarebbe stato costretto a spendere tempo e denaro (in termini di connessione) per riuscire a scaricare la propria posta ed a cancellare quella pubblicitaria. Oltre a opt-in e opt-out, una terza soluzione era rappresentata dall’ "opt-out a monte": gli utenti avrebbero potuto inserire i propri dati in una "lista negativa", manifestando così la propria volontà di non ricevere posta elettronica commerciale. In questo modo, le aziende avrebbero potuto eliminare dalla loro lista interna i soggetti iscritti. E’ questa, come si è detto, la soluzione di compromesso già adottata in ambito europeo dalla Direttiva sul commercio elettronico 2000/31/CE.
35. Vd. Considerando n.4, nonché art. 19 della dir. 2002/58/CE.
36. Vd. Considerando n.40 della dir. 2002/58/CE.
37. Sull’argomento, vds. Newsletter 3-9 febbraio 2003, ove si legge che il Garante ha obbligato un gestore telefonico al pagamento delle spese del procedimento instaurato da un abbonato, che si era rivolto al Garante dopo aver chiesto senza esito al gestore di interrompere l’invio sul proprio telefonino di SMS promozionali, relativi a servizi offerti dalla stessa società, affermando di non aver espresso alcun consenso a ricevere questo tipo di informazioni. Il ricorrente chiedeva inoltre di aggiornare il dato relativo alla propria residenza. Solo dopo l’intervento del Garante la società comunicava di aver aggiornato l’indirizzo dell’abbonato per il recapito delle bollette e per ogni altra comunicazione inerente il contratto di telefonia, adottando anche accorgimenti tecnici per interrompere l’invio di materiale pubblicitario. Su questo ultimo punto la società sosteneva, inoltre, di aver già recepito la richiesta del ricorrente, non andata a buon fine per un disallineamento dei sistemi interni.
38. Vd. in proposito, la decisione del Garante per la protezione dei dati personali dell’11.1.2001 (in Bollettino n. 16, pag.39), ove si legge che "contrasta con i principi di correttezza e finalità del trattamento raccogliere i dati che singoli utenti "lasciano" in un newgroup, forum, ecc. solo per le finalità di specifica discussione su determinati temi, hobbies, ecc., ed utilizzarli per altri scopi che nulla hanno a che vedere - anche indirettamente - con l’argomento per il quale l’utente partecipa ad una discussione più o meno "pubblica" ed indica il proprio recapito e le proprie generalità (art. 9, comma 1, lett. b), legge n. 675/1996). (…) Ad una conclusione analoga a quella indicata nei precedenti punti deve pervenirsi anche per ciò che riguarda altri casi oggetto di segnalazione, nei quali gli indirizzi di posta elettronica sono stati acquisiti dall’Associazione in quanto pubblicati su alcuni siti web per specifici fini di informazione aziendale, comunicazione commerciale o attività istituzionale ed associativa. La pubblicità di alcuni indirizzi resi conoscibili attraverso tali siti va collegata anch’essa, infatti, agli scopi per cui essa si verifica, non potendosi sostenere, anche in tali casi, che i dati posti a disposizione del pubblico per circoscritte finalità siano liberamente utilizzabili per l’invio generalizzato di e-mail anche quando queste non abbiano un contenuto commerciale o pubblicitario". Vd. inoltre il parere n. 1/2000 che il Gruppo europeo delle autorità garanti per la protezione dei dati ha adottato il 3 febbraio 2000 in tema di reti e di commercio elettronico, ove si chiarisce che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non comporta un uso libero dell’indirizzo stesso per mailing elettronici.
39. Comunicato Stampa del 13 giugno 2002.
40. Svoltasi dal 28 al 30 settembre 2000.
41. Vd. al riguardo C. Manganelli, "La privacy non ucciderà il marketing", da Il Sole24Ore del 25 settembre 1998, disponibile anche in www.privacy.it.
42. "Studio sulle questioni specifiche relative alla protezione dei dati e alla vita privata derivanti dalla posta elettronica indesiderata (**spam**), in particolare dalle comunicazioni commerciali indesiderate", di S. Gauthronet e E. Drouard (Appalto a procedura aperta n. XV/1999/19/E del 27/7/1999, contratto n. ETD/1999/B53000/e/1996).
43. La sintesi delle conclusioni dello studio, dal titolo "Messaggi pubblicitari indesiderati e protezione dei dati personali", è disponibile in www.europa.eu.int e www.privacy.it.
44. Lo studio citato, infatti, parla di equipaggiamenti tecnologici capaci di inviare, per ciascun operatore, 100 milioni di e-mail pubblicitari al giorno.
45. Una sorta di codice di condotta degli utenti di Internet. Disponibile sul sito www.nic.it.
46. http://www.nic.it/RA/servizi/listserv/abuse.html.
47. Le violazioni delle norme di Netiquette vanno segnalate alla Naming Authority Italiana e alla Registration Authority Italiana, tramite posta elettronica, inviando un e-mail a ABUSE@NA.nic.it.
48. Il termine è stato utilizzato nelle dichiarazioni rese da G. Buttarelli, segretario generale del Garante, riportate nel Comunicato Stampa del 28.9.2000, in cui si legge che "la privacy nel mondo di Intemet non deve essere virtuale ed è necessario costruire fiducia attraverso una completa informazione agli utenti della rete".
49. La Federal Trade Commission è l’autorità statale e federale in materia di pratiche sleali e ingannevoli e riservatezza, cui è demandato il compito, tra gli altri, di provvedere all’applicazione dell’accordo "Safe Harbor" raggiunto il 26 luglio 2000 (Decisione della Commissione n. 2000/520/CE) tra la Commissione Europea e gli stati Uniti, in osservanza dell’art. 25 della Direttiva 95/46/CE, ove si stabilisce che "il trasferimento verso un paese terzo di dati personali può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato". L’accordo prevede un livello minimo di tutela che le aziende statunitensi dovranno garantire solo se decideranno di aderirvi; esso permetterà un più semplice scambio di dati personali tra l’unione Europea e gli Stati Uniti d’America. La FTC, tuttavia, ha competenze limitate alle materie commerciali e collegate al commercio; dunque non è competente per quanto riguarda la raccolta o l’impiego di informazioni personali a fini non commerciali, né a conoscere dei trattamenti effettuati dalle organizzazioni senza fini di lucro.
50. Proposta del 9 luglio 2002, in www.ftc.gov. Recente è pure una proposta di una legge federale statunitense sulla tutela della privacy.