Il Garante interviene di nuovo contro il mail spamming e la raccolta indiscriminata di indirizzi e-mail reperibili sulla rete (vedi l'ultimo comunicato). E boccia senza mezzi termini l'invio di comunicazioni commerciali non precedute dal consenso informato del destinatario.
E' l'ennesimo tentativo di porre un freno all'ormai intollerabile valanga di posta indesiderata che invade le caselle di tutti gli utenti del'internet. Risale infatti all'11 febbraio 2001 la prima decisione in materia, nella quale erano esposti i criteri della "condanna", costantemente ribaditi nelle successive (vedi l'elenco in fondo a questa pagina).

Quali siano questi criteri è presto detto:
1. Il fatto che un indirizzo sia pubblicato su una pagina web non significa che sia "pubblico". L'apparente ossimoro deriva da un'interpretazione restrittiva dell'espressione "pubblici registri, elenchi, atti o documenti conoscibili da chiunque" (art. 12, comma 1, lett. c), della legge 675/96. Secondo il Garante l'aggettivo "pubblici" non significa "a disposizione di tutti", ma "formati o tenuti da uno o più soggetti pubblici".
2. Il fatto che l'interessato abbia reso pubblico il proprio indirizzo in una pagina web, per esempio nell'ambito di un newsgroup, non significa che esso sia utilizzabile per scopi diversi da quelli per cui è stato pubblicato (principio di finalità del trattamento).
3. L'invio di messaggi commerciali è subordinato al preventivo consenso informato dell'utente (opt-in). Questo aspetto, non del tutto chiaro nella normativa vigente, è stato comunque reso esplicito dall'art. 13, comma 1, della nuova direttiva comunitaria (2002/58/CE), in corso di recepimento.

Lineare, chiaro. Ma, evidentemente, poco efficace, se continua (e cresce) l'attività degli "spammatori", anche di evidente stabilimento nel nostro Paese.
A voler essere pignoli, qualche punto debole nelle argomentazioni del Garante si potrebbe trovare, per esempio dove mette insieme gli "elenchi pubblici" con gli "atti e documenti conoscibili da chiunque", espressione che sembra aggiungere una categoria diversa da quella dei registri "pubblici" in senso stretto.

Anche la necessità della richiesta preventiva del consenso potrebbe essere contestata, alla luce dell'art. 12, comma 1, lett. f) della 675/96, poiché questo tipo di trattamento "riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell'articolo 13, comma 1, lettera e)". E in quest'ultima disposizione si prevede la possibilità per l'interessato "di opporsi" al trattamento, con una chiara ipotesi di opt-out.

Si potrebbe anche obiettare che un semplice indirizzo e-mail spesso non costituisce "dato personale" ai sensi dell'art. 1 della legge, in quanto nella maggior parte dei casi la struttura dell'indirizzo non è riferibile a una determinata persona fisica o giuridica (per esempio: mario@qualc.boh). Ma si tratta di interpretazioni deboli, che cadono di fronte alla mens legis, cioè ai principi ispiratori della normativa. Con un gioco di parole si può dire che il "principio di finalità" è confermato dalla "finalità del principio".

Tuttavia il quadro non è del tutto soddisfacente, e non solo perché la regolamentazione italiana e europea non è in grado di arginare, se non in piccolissima parte, la valanga dei messaggi indesiderati che proviene da ogni angolo del mondo. Anche l'esplicito divieto di "camuffamento" del mittente, introdotto dall'art. 13, comma 4, della nuova direttiva, si rivela di difficile applicazione.
Con la conseguenza, purtroppo non nuova, che le proprio le regole più corrette finiscono col limitare l'attività degli operatori onesti e attenti al rispetto delle leggi, mentre non toccano i più abili e spregiudicati.

Ma a questo punto dobbiamo fare i conti con un altro aspetto della questione: i messaggi inviati da operatori commerciali possono non essere considerati inutilmente invasivi da parte di altri operatori. I quali, anzi, possono in molti casi trovarli interessanti per estendere i loro affari. Dunque è necessario non fare di ogni erba un fascio e dettare norme più aperte per quello che possiamo definire come spamming business to business. La quasi completa assimilazione delle persone fisiche con enti e persone giuridiche compiuta dalla legge italiana non è condivisa a livello comunitario e la nuova direttiva lascia aperta la regolamentazione dell'invio di messaggi commerciali a destinatari che non siano persone fisiche (art. 13, comma 5). Anche il terzo comma dello stesso articolo lascia al legislatore nazionale la scelta tra opt-in e opt-out nei casi diversi da quelli previsti dai commi 1 e 2 (il primo si riferisce allo spamming puro e semplice e il secondo alle comunicazioni degli operatori ai propri clienti).

Si deve considerare un altro punto: per ottenere il consenso preventivo può essere indispensabile inviare una richiesta. Altrimenti come fa il destinatario a esprimere il consenso stesso? Questo è un aspetto che deve essere risolto, perché vietare una prima comunicazione che contenga solo la richiesta di consenso al trattamento può costituire un ostacolo allo svolgimento di legittime attività economiche.

Resta, comunque, il problema dello spamming che viene dall'estero, magari da mittenti nascosti o camuffati. Problema che può essere risolto, almeno in parte, con la collaborazione dei provider (che hanno tutto l'interesse a non saturare la banda trasmissiva e i server di posta con le valanghe di spam), nell'ambito della sempre annunciata e mai avviata autoregolamentazione.

Per chi volesse approfondire, ecco altre decisioni del Garante in materia di mail spamming.
Reti telematiche ed Internet - Invio di messaggi commerciali presso indirizzi e-mail pubblicizzati su Internet - 28 maggio 2002
Reti telematiche ed Internet - E-mail, atti e documenti conoscibili da chiunque - 25 giugno 2002
Reti telematiche ed Internet - Invio di messaggi promozionali presso indirizzi e-mail - 25 giugno 2002
Reti telematiche ed Internet - Invio di messaggi promozionali presso indirizzi e-mail - 19 giugno 2002