Lo
spamming a fini di profitto è un reato
da www.garanteprivacy.it
, 1 settembre 2003
Provvedimento
generale
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione
odierna, in presenza del prof. Stefano Rodotà , presidente,
del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano
Rasi e del dr. Mauro Paissan, componenti e del dott. Giovanni
Buttarelli, segretario generale;
VISTI i reclami
e le segnalazioni pervenuti alle autoritàà circa l'indebito
utilizzo della posta elettronica per finalità promozionali
e pubblicitarie;
VISTE le decisioni
già adottate dal Garante in materia e ritenuto necessario
adottare un provvedimento di carattere generale sull'applicazione
della disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171 e le altre disposizioni
applicabili;
VISTI gli atti
dell'ufficio;
VISTE le osservazioni
formulate dal segretario generale ai sensi dell' art. 15 del
regolamento del Garante n. 1/2000;
RELATORE il dott.
Mauro Paissan;
PREMESSO:
1. I DISAGI
DI NUMEROSI UTENTI
Continuano a pervenire
a questa autoritàà diverse centinaia di reclami e segnalazioni
da parte di utenti di reti telematiche e di associazioni per
la tutela dei diritti di utenti e consumatori, che contestano
la ricezione di messaggi di posta elettronica per scopi promozionali,
pubblicitari, di informazione commerciale o di vendita diretta,
inviati senza che gli interessati abbiano manifestato in precedenza
il proprio consenso informato.
Numerosi interessati
espongono anche ulteriori disagi derivanti dalla costante ripetizione
di analoghi messaggi da parte di uno stesso mittente titolare
del trattamento, dai vani tentativi esperiti per ottenere sia
la cancellazione del proprio indirizzo di posta elettronica
presso i mittenti, sia l'interruzione di altri messaggi. Altre
segnalazioni riguardano gli inconvenienti che derivano dalla
ricezione di e-mail anonime o prive dell'indicazione di un indirizzo,
oppure delle coordinate veritiere di un reale mittente.
Nella prevalenza
dei casi, agli interessati non è stato previamente richiesto,
come dovuto, uno specifico consenso preceduto da una idonea
informativa che illustri adeguatamente le modalità e
le caratteristiche dei messaggi.
In altri casi i
messaggi sono inviati da imprese -anche in questo caso senza
consenso- per promuovere, presso clienti, prodotti o servizi
analoghi a quelli forniti in un rapporto contrattuale, oppure
per offrire altri tipi di prodotti o servizi distribuiti anche
da terzi.
Il Garante ha fornito
assistenza a numerosi cittadini, indicando le opportune modalità
di tutela; ha poi attivamente cooperato in sede comunitaria
per l' adozione di decisioni comuni alle autorità di garanzia
dei Paesi dell'Unione europea, pubblicate nel sito Internet
di quest'ultima e in quello del Garante (www.garanteprivacy.it).
l'autorità ha
anche accolto numerosi ricorsi (art. 29 legge n. 675/1996), a seguito dei quali
sono stati impartiti specifici divieti di trattamento dei dati.
Sono stati altresì avviati i procedimenti per applicare
le pertinenti sanzioni amministrative e sono stati trasmessi
gli atti all'autorità giudiziaria penale nei casi in cui erano
configurabili reati.
Con la collaborazione
di forze di polizia, incaricate da questa autorità di svolgere
i necessari controlli e di dare esecuzione ai provvedimenti,
sono stati eseguiti in loco, presso fornitori di servizi ed
altri titolari di trattamento, vari provvedimenti di sospensione
temporanea di ogni operazione illecita del trattamento dei dati
personali da parte di società risultate responsabili
di attività svolte in modo sistematico. Infine, sono
stati eseguiti accertamenti presso altri fornitori di servizi
di accesso ad Internet o ulteriori soggetti, per verificare
la rispondenza dei trattamenti di dati alla normativa vigente.
A conclusione di
queste attività , il Garante ravvisa la necessità
di adottare un provvedimento di carattere generale per indicare
le misure che gli operatori del settore devono adottare al fine
di conformarsi alla disciplina generale sull'uso dei dati personali,
specie nel settore delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo
13 maggio 1998, n. 171 e al decreto legislativo 22 maggio 1999,
n. 185). l'autorità ritiene inoltre necessario inibire il trattamento
illecito di dati risultante da altre segnalazioni il cui esame
è stato riunito in un unico procedimento, in particolare di
quelle relative a titolari di trattamento identificabili.
2. INVIO
LECITO DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di
posta elettronica recano dati di carattere personale da trattare
nel rispetto della normativa in materia (art. 1, comma 1 lett. c), legge n. 675).
La loro utilizzazione
per scopi promozionali e pubblicitari è possibile solo se il
soggetto cui riferiscono i dati ha manifestato in precedenza
un consenso libero, specifico e informato.
Il consenso è necessario
anche quando gli indirizzi sono formati ed utilizzati automaticamente
con un software senza l'intervento di un operatore, o in mancanza
di una previa verifica della loro attuale attivazione o dell'identità
del destinatario del messaggio, e anche quando gli indirizzi
non sono registrati dopo l'invio dei messaggi.
Questo assetto,
basato su una scelta dell'interessato c.d. di opt-in, è stato
ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una
recente direttiva comunitaria lo estendesse a tutti i Paesi
dell'Unione europea (n. 2002/58/CE in fase di recepimento
in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio
2002).
Questa autorità
si è pronunciata piùvolte in materia ribadendo che la
circostanza che gli indirizzi di posta elettronica possano essere
reperiti con una certa facilità in Internet non comporta il
diritto di utilizzarli liberamente per inviare messaggi pubblicitari
(cfr., ra l'altro, la decisione dell'11 gennaio 2001 - in Bollettino
del Garante n. 16).
In particolare,
i dati dei singoli utenti che prendono parte a gruppi di discussione
in Internet sono resi conoscibili in rete per le sole finalità
di partecipazione ad una determinata discussione e non possono
essere utilizzati per fini diversi qualora manchi un consenso
specifico (art. 9, comma 1, lettere a) e b), legge n. 675).
Ad analoga conclusione
deve pervenirsi per gli indirizzi di posta elettronica compresi
nella lista degli abbonati ad un Internet provider (qualora
manchi, anche in questo caso, un consenso libero e specifico),
oppure pubblicati su siti web di soggetti pubblici per fini
istituzionali.
Tali considerazioni
valgono anche con riferimento ai messaggi pubblicitari inviati
a gestori di siti web -anche di soggetti privati- utilizzando
gli indirizzi pubblicati sugli stessi siti, o che sono reperibili
consultando gli elenchi dei soggetti che hanno registrato i
nomi a dominio. In quest'ultimo caso, infatti, la conoscibilità
in rete degli indirizzi è volta a identificare il soggetto che
è o appare responsabile, sul piano tecnico o amministrativo,
di un nome a dominio o di altre funzioni rispetto a servizi
Internet (per la tutela di vari diritti sul piano civile e penale,
anche ai sensi della legge n. 675) e non anche a rendere l'interessato
disponibile all'invio di messaggi pubblicitari).
In tutti questi
casi, l'utilizzo spesso massivo della posta elettronica comporta
una lesione ingiustificata dei diritti dei destinatari, costretti
ad impiegare diverso tempo per mantenere un collegamento e per
ricevere, come pure per esaminare e selezionare, tra i diversi
messaggi ricevuti, quelli attesi o ricevibili, nonché
a sostenere i correlativi costi per il collegamento telefonico
(incrementati anche da messaggi di dimensioni rilevanti che
rallentano tali operazioni), oppure ad adottare più filtri,
a verificare più attentamente la presenza di virus, o
a cancellare rapidamente materiali inadatti a minori specie
in ambito domestico.
Il fenomeno interessa
anche piccole e grandi imprese destinatarie di un elevato numero
di messaggi, le quali devono farsi carico di misure interne
e di costi anche organizzativi per contrastarlo.
Questo ingiustificato
riversamento sugli utenti dei costi pubblicitari si verifica
anche relativamente a messaggi inviati da singole persone fisiche
che, in vari casi esaminati, non si limitano ad una comunicazione
episodica, ma intraprendono una comunicazione sistematica per
fini personali o, addirittura, una diffusione di dati cui è
applicabile la disciplina in materia di protezione dei dati
personali (art. 3 legge n. 675).
3. IL
QUADRO GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua
il contenuto dell'informativa agli interessati, nonchéi
casi in cui è necessario il consenso espresso dell'interessato
o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n. 675).
Al riguardo va
nuovamente rilevato che non può farsi a meno del consenso ritenendo
che i dati personali relativi all'indirizzo di posta elettronica
che all'indirizzo in particolare - siano pubblici in quanto
conoscibili da chiunque.
Le disposizioni
normative che si riferiscono a questo aspetto (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti
applicabili solo quando vi è un pubblico registro, elenco, atto
o documento conoscibile da chiunque perché vi è una specifica
disciplina che ne impone la conoscibilità indifferenziata
da parte del pubblico, e non anche quando i dati personali sono
conoscibili da chiunque per mere circostanze di fatto (si pensi,
oltre ai casi già richiamati di raccolta su siti web
o di messaggi trasmessi su newsgroup o su mailing list, agli
indirizzi di posta elettronica raccolti in rete tramite appositi
software o mediante comuni motori di ricerca).
Il principio del
consenso è quindi già operante nel nostro ordinamento
prima ancora di essere affermato senza eccezioni su scala europea,
dalla menzionata direttiva n. 2002/58 in fase di recepimento,
a tutta la posta elettronica comunque inviata per fini di commercializzazione
diretta (si vedano in particolare l'art. 13 e il considerando
n. 40).
Il quadro evidenziato
trova conferma nella disciplina sulla protezione dei consumatori
nei contratti a distanza che, in riferimento al rapporto sottostante
ai fini del quale si procede al trattamento di dati personali,
vieta ai fornitori l'impiego della posta elettronica in mancanza
del consenso preventivo del consumatore, in relazione a determinati
scopi tra i quali rientrano anche quelli pubblicitari (art.
10, comma 1, d.lg. 22 maggio 1999, n. 185).
Per gli aspetti
relativi alla protezione dei dati personali non devono essere
peraltro considerate le disposizioni del recente decreto legislativo
9 aprile 2003, n. 70, sul commercio elettronico, dichiarate
in proposito espressamente inapplicabili (art. 1, comma 2, lett.
b) d.lg. n. 70 cit.).
Il consenso, da
documentare per iscritto, deve essere manifestato liberamente,
in modo esplicito e in forma differenziata rispetto alle diverse
finalità e alle categorie di servizi e prodotti offerti,
prima dell'inoltro dei messaggi (art. 11 legge n. 675).
Tale disciplina
non può essere elusa inviando una prima e-mail che, nel chiedere
un consenso abbia comunque un contenuto promozionale oppure
pubblicitario, oppure riconoscendo solo un diritto di tipo c.d.
al fine di non ricevere più messaggi dello tesso tenore.
Al contrario, è
opportuna e va incoraggiata la prassi di alcuni fornitori i
quali, dopo aver ottenuto realmente un valido consenso dei destinatari,
danno semplice conferma della sua manifestazione, attraverso
un messaggio volto unicamente ad annunciare il successivo inoltro
di materiale pubblicitario. Tale prassi, se utilizzata correttamente,
consente tra l'altro di verificare l'effettiva corrispondenza
dell'indirizzo di posta elettronica ai soggetti che avevano
espresso il consenso, nonchè di accertare il permanere
di tale volontà .
l'insieme dei
diritti riconosciuti dalla legge agli utenti determina, in caso
di loro violazione, un trattamento illecito dei dati che:
-
È
già vietato direttamente dalla legge, senza che
sia necessario adottare uno specifico provvedimento interdittivo
del Garante dell'autorità giudiziaria;
-
determina,
a seconda dei casi, l'applicazione di sanzioni amministrative
pecuniarie, in particolare per
omessa
informativa od omessa notificazione (artt. 10, 34 e 39 legge n. 675; art. 12 d.lg. n. 185/1999);
-
comporta
il rimborso delle spese e dei diritti relativi al procedimento
attivato da un fondato ricorso al Garante, oppure da una
azione dinanzi al giudice civile, come pure il risarcimento
dei danni, specie di tipo patrimoniale, che derivino dai
fatti illeciti e siano comprovati dall'interessato in relazione
ai disagi sopra illustrati;
-
rende applicabile
anche una sanzione penale qualora il trattamento illecito
dei dati sia effettuato al fine di trarne per sé
per altri un profitto o per arrecare ad altri un danno,
con la pena accessoria della pubblicazione della sentenza
di condanna (artt. 35 e 38 legge n. 675).
4. MESSAGGI
PUBBLICITARI A PROPRI CLIENTI
Per effetto del
recepimento della direttiva 2002/58/CE sarà peraltro
possibile integrare, nel prossimo futuro, la disciplina sopra
illustrata, permettendo a talune società di far conoscere
a propri clienti prodotti o servizi analoghi a quelli per i
quali si è già stabilito un rapporto, con i medesimi
clienti, di vendita di prodotti o servizi.
In tali casi, la
società titolare del trattamento (dopo aver informato
preventivamente e adeguatamente il cliente) potrà procedere
all'invio del messaggio pubblicitario, offrendo perciòal
cliente, in modo chiaro e distinto (sia al momento della raccolta
dei suoi dati, sia in occasione di ciascun messaggio) il diritto
di rifiutare sin dall'inizio tale uso dei dati o di obiettare,
gratuitamente e in maniera agevole, anche successivamente (art.
13, par. 2, direttiva n. 2002/58/CE cit.)
5. MESSAGGI
PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi
portati all'attenzione del Garante, l'invio di messaggi pubblicitari
era stato effettuato, per conto di terzi committenti, da società
specializzate che utilizzano indirizzi di posta elettronica
contenuti in proprie banche dati.
Tali società ,
da considerarsi cotitolaria o contitolari del trattamento dei
dati a seconda del rapporto che si instaura con il committente
e delle modalità di concreta utilizzazione dei dati,
sono tenute a rispettare le disposizioni in tema di informativa
e specifico consenso, anche per quanto riguarda l'eventuale
comunicazione di dati personali ai committenti medesimi e le
relative finalità.
Ciò comporta un
quadro di obblighi e possibili responsabilità anche
penali che gli operatori devono verificare con attenzione, anche
uando la società specializzata incaricata sia stabilita
fuori dell'Unione europea.
Dall'esame dei
reclami e delle segnalazioni pervenuti al Garante è risultato,
altresì, che alcuni dei soggetti che hanno utilizzato
la posta elettronica per l'invio di messaggi pubblicitari avevano
acquisito da terzi le banche dati contenenti gli indirizzi dei
destinatari. In questi casi, chi acquisisce la banca dati deve
accertare che ciascun interessato abbia validamente acconsentito
alla comunicazione del proprio indirizzo di posta elettronica
ed al suo successivo utilizzo ai fini di invio di materiale
pubblicitario; al momento in cui registra i dati deve poi inviare
in ogni caso, a tutti gli interessati, un messaggio di informativa
che precisi gli elementi indicati nell'art. 10 della legge n.
675, comprensivi di un riferimento di luogo -e non solo di posta
elettronica- presso cui l'interessato possa esercitare i diritti
riconosciuti dalla legge.
6. DIRITTI
DEGLI INTERESSATI
Indipendentemente
dal rapporto esistente tra i mittenti ed i destinatari dei messaggi,
chi detiene i dati deve assicurare in ogni caso agli interessati
la possibilità di far valere in ogni momento i diritti
riconosciuti dalla legge, i quali sono spesso esercitati per
conoscere da quale fonte sono stati tratti i dati, o per far
interrompere gratuitamente la loro ulteriore utilizzazione ai
fini commerciali-pubblicitari, oppure per far cancellare i dati
trattati in violazione di legge (art. 13, comma 1, lett. e), della legge).
Nel sito Internet
del Garante è riportato un modello-tipo per esercitare tali
diritti in maniera agevole, gratuitamente e senza particolari
formalità , anche verbalmente o mediante posta elettronica,
dimostrando la propria identità (art. 17, comma 1, d.P.R.
n. 501 del 31 marzo 1998). Tale modello è utilizzabile in luogo
di altri reperibili in reti telematiche che non sono pienamente
validi in quanto si riferiscono anche ad aspetti non riconosciuti
dall'art. 13 della legge n. 675 (ad esempio, chiedono
il rilascio di attestazioni o la copia di autorizzazioni non
previste).
I diritti vanno
esercitati sulla base di tale modello direttamente presso l'indirizzo
conoscibile del titolare o del responsabile del trattamento,
riservando solo ad una eventuale momento successivo l'instaurazione
di una procedura contenziosa dinanzi al Garante o all'autorità
giudiziaria.
Anche ai fini dell'esercizio
di tali diritti, deve ritenersi che l'invio anonimo di messaggi
pubblicitari senza l'indicazione di un mittente identificabile
concreti già oggi un trattamento illecito di dati personali,
a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul
commercio elettronico (come si è visto, fuori della materia
della protezione dei dati personali) e da quanto, in riferimento
ai dati personali, sarà previsto con il recepimento
della direttiva n. 2002/58/CE (la quale non consente l'invio
di messaggi pubblicitari quando l'identità del mittente
viene camuffata o addirittura celata e quando non viene fornito
un indirizzo valido che consenta al destinatario di richiedere
la cessazione delle comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei
messaggi devono quindi indicare già oggi, in modo chiaro,
la fonte di provenienza del messaggio, nonchèil soggetto
e l'indirizzo e non solo di posta elettronica- presso cui i
destinatari possono esercitare i propri diritti (si veda, in
proposito, l'art. 10, comma 1, lett. f) della legge n. 675).
Appare altresì conforme al principio di correttezza indicare
nell'oggetto del messaggio la sua tipologia pubblicitaria-commerciale
(art. 9, comma 1, lett. a), legge n. 675).
7. ELENCHI
DI POSSIBILI DESTINATARI
l'eventuale elenco
predisposto da operatori, contenente i nominativi dei soggetti
che non hanno manifestato il consenso o che lo hanno revocato
(c.d. black list) non può essere utilizzato per porre a carico
degli interessati, anche indirettamente, un onere di iscrizione
nell'elenco medesimo.
Come si è illustrato,
il consenso ha un connotato autorizzatorio è depositivo
in base al quale l'eventuale silenzio dell'interessato omporta
il diniego del consenso eventualmente richiesto e non rileva
come assenso tacito all'invio dei messaggi.
Consta peraltro
che alcuni operatori intendono adottare la diversa prassi di
redigere anche tramite siti web appositi elenchi di persone
che hanno manifestato il consenso, distinti in base alle diverse
categorie di messaggi commerciali-pubblicitari che gli interessati
hanno acconsentito a ricevere. Tale prassi, se correttamente
seguita, può rappresentare una misura utile, sul piano organizzativo,
per garantire un più effettivo rispetto della volontà
espressa dai singoli. A tale riguardo, costituirà una pratica
utile quella di garantire agli interessati la possibilità di
inserire direttamente il proprio nome nelle diverse liste o
di cancellarlo dalle stesse, magari attraverso un'apposita pagina
web, ferma restando l'esigenza di identificarli.
8. E-MAIL
PROVENIENTI DALL'ESTERO
Ad alcuni messaggi,
in quanto provenienti dall'estero, non è applicabile
la legge italiana sulla protezione dei dati personali.
Ciò non comporta
l'assoluta mancanza di rimedi o tutela, potendo l'utente
chiedere una verifica da parte della competente autorità nazionale
di protezione dei dati personali, ove istituita nel Paese eventualmente
individuabile dal messaggio.
In altri casi,
come quelli relativi alle leggi degli stati federali, l'invio
di messaggi pubblicitari di posta elettronica può essere illecito
in base alla legge di alcuni stati, per cui è parimenti possibile,
per gli utenti, chiedere alle competenti autorità pubbliche
degli stati di valutare la perseguibilità degli illeciti.
Va infine tenuto
presente che alcune e-mail indesiderate possono essere lo strumento
per commettere reati comuni (ad esempio di truffa) che devono
considerarsi commessi nel territorio italiano quando, sebbene
l'azione è avvenuta all'estero, l'evento-reato che ne
deriva si è verificato in Italia.
Questa autorità
si riserva di valutare la posizione dei singoli fornitori di
servizi i cui trattamenti sono stati oggetto di segnalazione,
anche alla luce dell'ulteriore documentazione eventualmente
pervenuta.
In questo quadro,
con separati provvedimenti relativi all'esame dei singoli reclami
e segnalazioni, si provvederà , oltre alle eventuali
trasmissioni di atti all'autorità giudiziaria penale:
a) a contestare
la violazione amministrativa relativa agli obblighi di informativa
di cui all'art. 10 della legge 31 dicembre 1966, n. 675;
b) ad avviare il procedimento per l'applicazione delle
ulteriori sanzioni amministrative previste dal d.lg. n. 185/1999;
TUTTO CIÒ
PREMESSO IL GARANTE:
-
ai sensi
dell'art. 31, comma 1, lett. l) della legge 31 dicembre
1996, n. 675, vieta l'ulteriore trattamento illecito
di dati personali realizzato a scopi di invio di materiale
pubblicitario o di vendita diretta, ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale interattiva,
effettuato in violazione delle disposizioni sopra richiamate
da parte dei soggetti cui si riferiscono le segnalazioni
e i reclami pervenuti;
-
Roma, 29 maggio
2003
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
|
