Privacy e comunicazioni indesiderate: un nuovo capitolo

di Paolo Ricchiuto* - 23.02.06

E infatti, anche stavolta il nostro legislatore ha pensato bene di prodursi in una norma tanto ben celata da rischiare di passare inosservata, nonostante i suoi effetti potenzialmente rilevantissimi.
Mi riferisco all'art. 19-bis, che così recita:
Deroga al d.lgsl. 196/03 - L'art. 58 comma 2 del codice del consumo di cui al d.lgls. 206/05, si applica anche in deroga alle norme di cui al d.lgsl. 196/03.
Quali sono gli effetti di questa disposizione? Per capirlo, è necessario passare brevemente in rassegna il quadro normativo all'interno del quale collocare la inaspettata novità.

Il "codice privacy", in sede di riordino delle varie disposizioni già esistenti sul tema (DLgv 171/98) e nel recepire la direttiva 2002/58/CE sulla tutela della vita privata nel settore delle comunicazioni elettroniche, ha dettato una analitica disciplina in tema di comunicazioni commerciali indesiderate.
La norma di riferimento (art. 130) è improntata a tre principi cardine:

a) l'invio per fini di marketing di comunicazioni tramite sistemi automatizzati di chiamata,posta elettronica, SMS ed MMS è legittimo soltanto con il consenso preventivo dell'interessato;
b) in caso di utilizzo di tutte le altre tecniche (es: sistemi non automatizzati di chiamata - telemarketing con operatore) le comunicazioni "sono consentite ai sensi degli articoli 23 e 24", cioè a dire con il consenso dell'interessato, ma anche in assenza dello stesso, purchè sia configurabile un caso di esclusione fra quelli previsti dall'art. 24 del codice.
c) il comma 4 dell'art. 130, in linea con la direttiva, disciplina poi una ipotesi particolare: nel solo caso in cui un soggetto, acquisite legittimamente le coordinate di posta elettronica di un interessato nell'ambito della instaurazione di un rapporto contrattuale, utilizzi poi quell'indirizzo per commercializzare "propri servizi o prodotti analoghi", allora non è necessario il consenso preventivo, fatta salva comunque la possibilità per l'interessato di opporsi in ogni momento al trattamento.

L'assetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data protection, qualifica dunque il nostro come un sistema improntato al cosiddetto "opt-in" (necessità del consenso preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di "propri prodotti o servizi analoghi", ispirato ad un sistema che potremmo definire di ..."soft opt-out".

Accanto al descritto impianto normativo, si collocano disposizioni che, pur essendo dettate in ambiti estranei a quello della tutela della riservatezza, disciplinano anch'esse il fenomeno delle comunicazioni commerciali indesiderate in modo a dir poco frastagliato.
Non è questa la sede per analizzarle analiticamente, ma limitandoci ad alcuni cenni possiamo rammentare come:
- il DLgv 70/03 (art. 9) in materia di commercio elettronico, pur facendo espressamente salvi gli obblighi sulla privacy, disciplina l'invio di materiale commerciale tramite e-mail secondo un sistema di opt-out puro;
- il DLgv 190/05 (art.15) nel recepire la direttiva 2002/65/CE sulla commercializzazione a distanza di servizi finanziari, prescrive il consenso preventivo più o meno per tutte le tecniche di comunicazione a distanza.

La norma che però più interessa, in relazione alle ultimissime novità legislative, è quella contenuta nel cosiddetto "codice del consumo" (DLgv 206/05).
Si tratta del corposo testo unico all'interno del quale sono confluite tutte le disposizioni relative alla tutela del consumatore, ivi comprese quelle relative ai contratti negoziati fuori dai locali commerciali ed ai contratti a distanza, le cui discipline di riferimento (rispettivamente il DLgv 50/92 ed il DLgv 185/99) sono state dunque abrogate.

Con particolare riferimento al tema delle comunicazioni commerciali, raccogliendo integralmente il disposto del pre-vigente DLgv 185/99, l'art. 58 del Codice del consumo così recita:

Mentre il primo comma prevede un sistema pienamente assimilabile all'opt-in, il secondo è invece apertamente ispirato ai meccanismi dell'opt.out.
Ora, questa regolamentazione comportava già alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dall'art. 58 I comma del DLgv 206/05? Sarebbe mai legittima una policy che prevedesse un'unica formula sintattica per l'acquisizione di entrambi i consensi?

Il tema è tutto da dibattere, fermi però alcuni punti di riferimento che, a mio parere, devono costituire i criteri guida per la soluzione di ogni problema esegetico:
a) si tratta di due consensi aventi natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla correttezza del comportamento del professionista dall'altro);
b) diverse sono le sanzioni che derivano dalla violazione delle norme, come evidentemente dimostrato dall'art. 62 del codice del consumo, che espressamente prevede la trasmissione al Garante per la protezione dei dati personali del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei diritti dei consumatori, affinchè il Garante stesso irroghi le diverse sanzioni prescritte dal codice della privacy.

Qualsiasi scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben presenti le tratteggiate distinzioni.

E veniamo, alfine, all'esame dell'ultima novità, i cui contorni dovrebbero essere a questo punto più chiari: "L'art. 58 comma 2 del codice del consumo di cui al d.lgls. 206/05, si applica anche in deroga alle norme di cui al d.lgsl. 196/03".
Che cosa significa che l'art. 58 "si applica in deroga" alle norme di cui al codice della privacy? Si tratta di una sorta di breccia aperta nelle mura erette dal DLgv 196/03?

Non è mancato chi, alcuni giorni orsono su un quotidiano a rilevanza nazionale, ha tratteggiato una interpretazione di questo tipo, arrivando a sostenere che per "deroga al DLgv 196/03" potrebbe intendersi liberazione da tutti i vincoli previsti dal codice, non solo con riferimento al consenso, ma anche con riguardo agli altri adempimenti di base quali l'informativa, la notificazione, l'adozione delle misure minime di sicurezza etc.etc...
Per quanto la norma sia certamente originale, non credo proprio che possa legittimamente sostenersi nulla del genere, e se questo era il fine di chi l'ha ideata, bene, ritengo che abbia scelto lo strumento sbagliato.

Mi sembra infatti abbastanza ovvio che, nel momento in cui si approccia una norma - l'art. 58 DLgv 206/05 - che regolamenta esclusivamente il consenso prevedendo, come nel caso di specie, un sistema di Opt-out, allorquando c'è un'altra norma - l'art. 19 bis del "milleproroghe" - che ne prescrive l'applicazione in deroga alle norme di cui al codice, la stessa non possa che riferirsi alle sole norme relative al consenso. Dire, dunque, che l'art. 58, c. 2 si applica in deroga al DLgv 196/03, significa soltanto dire che così come non è necessario il consenso preventivo a tutela del consumatore, non opera nemmeno il presupposto di liceità del consenso chiamiamolo "privacy". Ogni altra interpretazione si risolve in una a mio modestissimo avviso indebita estensione della reale portata sintattica dell'art. 19-bis.

Ciò sottolineato, e ricondotta la questione nei termini che gli sono propri, resta il problema di esaminare i caratteri della innovazione normativa. A tale fine, ritengo si possano operare le seguenti, primissime riflessioni:
- l'art. 19 -bis è stato inserito nella legge di conversione del decreto legge milleproroghe, ma non era contemplata nel decreto legge convertito. Esiste dunque il solito (e sottovalutatissimo) problema di tenuta costituzionale della norma;
- l'art. 58 secondo comma del codice del consumo si riferisce soltanto alle tecniche di comunicazione a distanza che non siano quelle di cui al primo comma (che non siano, cioè, telefono, posta elettronica, sistemi automatizzati di chiamata e fax). In ogni caso, dunque, l'ambito di applicazione della esenzione dal consenso privacy dettata dall'art. 19-bis del milleproroghe, è estremamente contenuto.

Non c'è, quindi, da brindare alla rivoluzione (dal lato degli operatori marketing) nè da gridare allo scandalo (dal lato dei cultori di sistemi di business privacy oriented).
Si tratterà di ragionare equilibratamente sul tema. E in questa operazione, un grande aiuto potrà venire dalla interpretazione data dal Garante per la protezione dei dati personali che, solo poche ore prima dell'approvazione del milleproroghe (e precisamente nella newsletter del 03.02.06), annunciando la pianificazione dell'attività ispettiva, aveva individuato proprio il mondo delle vendite a distanza come area da porre sotto la lente degli accertamenti.

Si spera che per tale via (o nella meno traumatica forma di uno dei soliti pareri alle associazioni di settore), il Garante sappia gettare una luce su una giungla normativa che, se non correttamente interpretata, rischia di risolversi in una catalessi operativa, inutile per tutti.
 

* Avvocato in Roma