Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

La difficile difesa del diritto alla riservatezza
di Manlio Cammarata - 15.02.01 

"Toc toc sono Emma Bonino..." Si presentavano così, alcuni mesi fa, i messaggi del primo (e forse ultimo, nel suo genere) caso di mail spamming politico in Italia. E fioccavano decine di segnalazioni al Garante per la protezione dei dati personali. Il quale, compiuti i necessari accertamenti, ha preso una decisione che censura pesantemente il comportamento del mittente e pone alcuni paletti per limitare un tipo di comportamento che suscita un grande fastidio tra gli utenti della Rete.
Quindi ha emanato un provvedimento che regola la diffusione indiscriminata di comunicazioni politiche ed elettorali, annunciando altre pronunce sulla materia, in vista della campagna elettorale.

Tanto per cambiare, la notizia è stata riportata con qualche inesattezza, perché è stato detto che il Garante ha vietato il mail spamming. Il che non è vero, come vedremo tra un attimo, ma in questo caso l'equivoco è in parte giustificato dal titolo del comunicato dell'ufficio presieduto da Rodotà: esso dice testualmente "Propaganda elettorale e privacy. Esonerati dall'informativa partiti e candidati, ma niente spamming". In realtà lo spamming, cioè l'invio di messaggi a grandi liste di utenti, è lecito, ma a determinate condizioni.
Cerchiamo dunque di mettere a fuoco in estrema sintesi i punti fermi della questione.

1. Partiti e candidati sono esonerati dall'obbligo di rendere l'informativa prevista dall'art. 10 della legge 675/96 per i trattamenti volti all'invio di "generico materiale di propaganda" a nominativi "provenienti da pubblici registri, elenchi atti o documenti conoscibili da chiunque (liste elettorali, elenchi telefonici etc.)". L'esonero vale solo per l'imminente campagna elettorale, cioè fino al 30 giugno prossimo.

2. "Una seppur sintetica informativa - scrive il Garante - è, invece, indispensabile quando si tratti di informazione personalizzata, realizzata cioè mediante invii di messaggi di posta elettronica o di lettere articolate". Dunque non c'è il divieto di fare spamming, ma i destinatari devono ricevere l'informativa su chi svolge il trattamento e a quali fini, e hanno comunque il diritto "di farsi cancellare dall'archivio costituito presso il partito o il movimento politico".
Viene così sostanzialmente accolta - e allo stato dei fatti non potrebbe essere altrimenti - la soluzione detta di opt-out, cioè il divieto di inviare messaggi a chi abbia esplicitamente dichiarato di non volerne ricevere. Va ricordato che molti difensori della riservatezza insistono - con evidenti buone ragioni - per l'introduzione obbligatoria del cosiddetto opt-in, cioè della possibilità di inviare comunicazioni solo a chi abbia manifestato esplicitamente la disponibilità a riceverle.

3. Gli indirizzi e-mail possono essere raccolti da "pubblici registri, elenchi, atti o documenti conoscibili da chiunque", come recita l'art. 7, comma 5-ter, ma non possono essere ricavati da pagine web, gruppi di discussione o altre fonti simili, come aveva fatto l'associazione dei Radicali per il famigerato invio che ha dato origine all'intervento del Garante.
E' stato dunque applicato estensivamente il "principio di finalità" del trattamento, considerando in questo caso la finalità per la quale lo stesso interessato può aver reso pubblico il proprio indirizzo, che potrebbe non essere quella di ricevere comunicazioni a valanga.
Dunque l'attività vietata dal Garante non è il mail spamming, ma il mail grabbing, cioè la caccia sistematica agli indirizzi e-mail sparsi nella Rete.

Questa interpretazione del concetto di "conoscibilità" del dato si presta a discussioni interminabili, a partire dalla valenza della formulazione dell'art. 1 della legge, in cui viene definita come "dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Che significa "identificabile"? Andrea Monti (vedi Spam e indirizzi e-mail. Quando la 675 è impotente) dà un'interpretazione del termine molto restrittiva e assai discutibile, ma il problema esiste, proprio perché la legge 675/96 è una legge vecchia che non tiene conto delle situazioni determinate dal progresso delle tecnologie.

In conclusione, il Garante ha fatto il possibile per "adattare" il dettato della norma alla necessità di limitare un fenomeno fastidioso e che rischia di espandersi in misura intollerabile. Non potendo, al momento, imporre l'opt-in, ha ribadito il diritto all'opt-out e ha subordinato la liceità dello spamming al rispetto di alcune regole minime. Il che dimostra, ancora una volta, che l'intero impianto della sulla tutela della riservatezza ha bisogno di una revisione radicale. A parte i tempi lunghissimi del completamento del quadro normativo, previsto dalla legge-scialuppa 676/96, non è pensabile che si possa andare avanti con le aggiunte e i rattoppi a un testo formulato nella prima metà degli anni '90.

E' necessaria una nuova impostazione del problema. La legge attuale, come si legge all'art. 1, "garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali" eccetera eccetera. Invece occorre un principio diverso: la legge deve garantire in prima battuta i diritti le le libertà fondamentali, e da lì disciplinare il trattamento. In altri termini, l'attenzione deve essere puntata sulla persona, non sulle vicende dei dati. Con questo presupposto molti problemi sarebbero risolti, perché si dovrebbe di volta in volta verificare la rispondenza del trattamento non alla norma astratta, ma alla protezione del bene fondamentale.

Per fare un esempio: oggi ci sono regole - come si vede insufficienti - per limitare il mail spamming, norme che si prestano a diverse interpretazioni. Se invece di regolare le modalità del trattamento, si sancisse il diritto di ciascuno di opporsi all'invio, in qualsiasi forma e con qualsiasi tecnica, di messaggi di massa, tutto sarebbe più semplice.
Naturalmente questa soluzione non sarebbe gradita ai santoni dell'e-marketing, ai "profilatori" indefessi, ai violatori sistematici della riservatezza altrui.

Ma qualcosa di dovrebbe poter fare anche con la legge attuale. Come per il caso del sistema operativo Windows 9x, che effettua una rilevazione automatica e non evitabile di una serie di dati dell'utente, che vengono messi a disposizione di chiunque voglia accedervi, attraverso i cookie e altri accorgimenti.
Si tratta, ai sensi della nostra legge, di una "raccolta" di dati. Che non è preceduta o accompagnata da un'informativa e da una richiesta di consenso, e che non dà alcuna possibilità di opporsi al trattamento.
Che ne pensa il Garante?