Il principale punto controverso portato all'attenzione del Garante nel provvedimento dell'11 gennaio 2001, riguardava la necessità del consenso da parte degli interessati (titolari degli indirizzi e-mail) al trattamento. L'associazione resistente sosteneva che gli indirizzi, in quanto acquisibili in rete, rientrassero tra quei dati personali che, in quanto provenienti da "pubblici registri, elenchi, atti o documenti conoscibili da chiunque", ai sensi dell'art. 12, comma 1, lett. c) della legge 675/96, possono essere trattati senza la previa manifestazione positiva di consenso da parte degli interessati.

Il Garante ha invece ritenuto, condivisibilmente, che la previsione della citata lettera c) non si riferisce a qualunque dato personale che sia de facto consultabile da una pluralità di persone, ma ai soli dati personali sottoposti ad un regime giuridico di piena conoscibilità, da parte di chiunque (con gli eventuali limiti temporali, anche in caso di comunicazione e diffusione dei dati ex art. 20, comma 1. Allo stesso modo, la legittimazione alla pubblica utilizzazione di taluni dati personali, può anche essere desunta dalla destinazione ad essi impressa dall'interessato, in base ad un consenso espresso, informato e manifestato in modo specifico, alla stregua dell'art. 10. Non può, invece, essere estratta dalla sola circostanza che il dato sia stato, anche momentaneamente, reso conoscibile di fatto per una pluralità indeterminata di soggetti.

Con specifico riferimento alla questione degli indirizzi e-mail, inoltre, è pur vero che la raccolta di tali dati, attraverso la partecipazione a forum e newsgroups, è resa possibile da una preventiva decisione dell'utente circa la propria registrazione. Ciò, peraltro, avviene al solo scopo della discussione, più o meno pubblica, su determinati argomenti, di talché la conoscenza di fatto degli indirizzi, che così si realizza, deve essere valutata con specifico riferimento alla finalità limitata per cui avviene, senza che se ne possa ricavare l'intenzione dell'utente di rendere pubblico il dato, nel senso di considerare ed approvare la possibilità che quel dato possa essere letto ed acquisito, per una serie indeterminata di utilizzi, da chiunque.
Va aggiunto che il Gruppo europeo delle autorità garanti per la protezione dei dati ha adottato il 2 novembre 2000 un parere (n. 7/2000) in tema di reti e commercio elettronico, evidenziando che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non comporta un uso libero dell'indirizzo stesso per mailing elettronici.

In precedenza, nel parere n. 1/2000 del 3 febbraio 2000, il Gruppo medesimo aveva specificato che "se un indirizzo E-mail viene raccolto in uno "spazio pubblico di Internet", il suo impiego per mailing elettronici sarebbe contrario alla pertinente legislazione comunitaria, e ciò per tre ragioni. Primo, il fatto potrebbe essere considerato come un trattamento "sleale" dei dati personali ai sensi dell'articolo 6(1)(a) della direttiva generale 95/46/CE. Secondo, sarebbe contrario al principio della finalità di cui all'articolo 6(1)(b) di tale direttiva, in quanto l'interessato aveva reso noto il suo indirizzo e-mail per motivi del tutto diversi, ad esempio la partecipazione ad un newsgroup. Terzo, dato il citato squilibrio dei costi e il fastidio recato al destinatario, tali spedizioni non possono essere considerate giustificate in termini dell'equilibrio di interessi di cui all'articolo 7(f) (interesse legittimo del responsabile del trattamento, bilanciato con l'interesse o i diritti e le libertà fondamentali della persona interessata)".

Il trattamento dei dati così acquisiti, per ulteriori scopi, risulta dunque illecito, in quanto confliggente con il principio di finalità ex art. 9, della legge 675, sia in senso oggettivo che in senso soggettivo e cioè in riferimento alla cerchia dei destinatari e degli ulteriori titolari del trattamento.
Analogamente il Garante ha concluso, con riguardo ad ulteriori indirizzi acquisiti da siti web, sui quali essi venivano pubblicati per specifici fini di informazione aziendale, comunicazione commerciale o attività istituzionale ed associativa. Anche in questo caso, il principio di finalità del trattamento non consente la libera utilizzabilità dei dati, così messi a disposizione del pubblico.
Conseguentemente, all'associazione è stato intimato di dare immediatamente riscontro alle richieste di cancellazione già inoltrate, curando un servizio efficace di eliminazione degli indirizzi, nonché di astenersi da ogni ulteriore utilizzo dei dati personali relativi agli utenti che non avessero previamente manifestato un consenso alla loro utilizzazione per finalità di comunicazione politica.

La medesima prospettiva è stata impiegata dal Garante nel provvedimento con il quale l'Autorità ha esonerato partiti e movimenti politici dall'obbligo di informativa, ai sensi dell'art. 10 comma 4, sino al 30 giugno 2001.
Il presupposto dell'intervento è l'utilizzo massiccio, in tempi di campagna elettorale, di dati personali non raccolti presso l'interessato, per l'inoltro di messaggi elettorali e politici. L'informativa all'interessato, in questo caso, dovrebbe essere fornita all'atto della registrazione dei dati o non oltre la loro prima comunicazione. L'art. 10. comma 4, della legge, dispone che tale obbligo "non si applica quando l'informativa all'interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato", ed il Garante aveva in precedenti occasioni indicato i presupposti in presenza dei quali ravvisare la manifesta sproporzione, anche in relazione a settori generali o tipi di trattamento.
Per questi motivi, si è considerata l'opportunità di esonerare i soggetti politici (partiti e movimenti, comitati promotori di liste elettorali, singoli candidati, ogni altro soggetto che effettui operazioni di trattamento dei predetti dati per esclusiva finalità di comunicazione politica o di propaganda) dall'obbligo di informativa, qualora si impieghino dati estratti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, e qualora il materiale di propaganda non permetta un agevole inserimento della normativa, sino al termine della tornata di consultazioni elettorali in corso.

Tuttavia, il Garante ha posto ben precisi limiti a tale attività. In particolare, ha ritenuto che, nel caso in cui l'interessato sia contattato mediante l'invio di lettere articolate o messaggi di posta elettronica, l'informativa può essere inserita senza soverchie difficoltà, con l'ausilio di formule anche sintetiche e colloquiali, purché riassuntive degli elementi richiesti dall'art. 10. Inoltre, ha ribadito che permane l'obbligo per i trattanti di ottemperare ai propri obblighi in caso di istanza di cancellazione ai sensi dell'art. 13.
Infine, il Garante ha riaffermato che per i dati personali non provenienti da fonti pubbliche accessibili a chiunque, resta fermo l'obbligo dell'informativa e, qualora non ricorrano altre esimenti, dell'acquisizione del consenso. Naturalmente, tale sarà il regime dei dati personali, come gli indirizzi e-mail, raccolti con modalità che prescindano dal consenso specifico dell'interessato.

Attraverso questo percorso, il Garante ha esplicitato la strategia legislativa di prevenzione rispetto al trattamento dei dati personali messo in atto mediante strumenti telematici. Peraltro, a parere di autorevoli commentatori, tale strategia risulta inadeguata e perciò il Garante si è dovuto limitare ad un intervento tutto sommato poco incisivo. In tal senso si è espresso M. Cammarata, La difficile difesa del diritto alla riservatezza, a parere del quale oggi "ci sono regole insufficienti per limitare il mail spamming, norme che si prestano a diverse interpretazioni. Se invece di regolare le modalità del trattamento, si sancisse il diritto di ciascuno di opporsi all'invio, in qualsiasi forma e con qualsiasi tecnica, di messaggi di massa, tutto sarebbe più semplice".
Sebbene siano condivisibili le perplessità sull'effettiva funzionalità del sistema di tutela della legge 675/96, in presenza di fenomeni di trattamento invisibile ed automatico dei dati personali qual è effettuato da software e hardware in Internet, occorre precisare che, nella circostanza, è stata decisiva la particolare finalità perseguita dai titolari del trattamento, che ha impedito l'applicazione della tutela prevista dalla più specifica normativa relativa al settore delle telecomunicazioni, e principalmente del già citato art. 10 e delle sanzioni predisposte dall'art. 11 del DLgs n. 171/98.

La circostanza che, in materia di propaganda elettorale, il Garante non si sia pronunciato espressamente contro la pratica dello spamming, non preclude la protezione degli abbonati qualora si tratti di una comunicazione a fini eminentemente commerciali, in riferimento alla quale, peraltro, il legislatore ha coerentemente previsto l'applicazione del principio di opt-in, cioè dell'invio riservato ad utenti che abbiano previamente manifestato uno specifico consenso. D'altronde, lo stesso opt-in è stato implicitamente riconosciuto dal Garante agli utenti fatti segno di mail grabbing: nei loro confronti, infatti, si è ritenuta insufficiente la predisposizione di un mero meccanismo di cancellazione automatica su richiesta ("non era pertanto corretto gravare l'utente dell'onere di chiedere all'Associazione di interrompere l'invio dei messaggi non richiesti"). Tale orientamento è rimasto però, nei fatti, in secondo piano nella pronuncia, cosicché lo stesso Cammarata ha ritenuto "sostanzialmente accolta la soluzione detta di opt-out, cioè il divieto di inviare messaggi a chi abbia manifestato esplicitamente la volontà di non volerli ricevere".

Per altro verso, invece, di fronte al trattamento di dati pubblicamente accessibili, proprio per la natura di questi ultimi, all'utente è permesso soltanto di esercitare il diritto di chiedere la cancellazione.
L'alternativa tra opt-in e opt-out è dunque determinata, rispetto a tali differenti situazioni, dalla concreta modalità di acquisizione dei dati e dalla finalità specifica del trattamento.
Ne deriva che, se il Garante non ha vietato il mail spamming, né avrebbe potuto vietarlo tout-court, è semplicemente perché il nostro ordinamento considera illecito soltanto lo spamming commerciale, mentre mostra di preferire una soluzione di compromesso, mediata dai principi di correttezza del trattamento, nelle altre ipotesi.

A riprova di quanto osservato, può segnalarsi il differente atteggiamento del Garante, in un altro recentissimo intervento in materia [provvedimento del 26 settembre 2000, riportato in Newsletter 12-18 marzo 2001. Nella fattispecie, una società che trattava dati personali inseriti in pubblici registri (elenchi telefonici, liste elettorali) per i propri fini di comunicazione commerciale, è stata ritenuta assoggettabile al solo obbligo di informativa (al momento della registrazione o differito ex art. 10, comma 3, ma non oltre il momento del contatto telefonico o postale) oltre che, naturalmente, all'esercizio del diritto di opposizione al trattamento di cui all'art. 13, comma 1, lett. e).
In questo caso, pur ricorrendo il "disdicevole" fine commerciale, l'elemento strutturale dell'intermediazione di un operatore (che consente all'interessato una minima difesa, di fronte al trattamento e alla chiamata di sollecitazione) ha sottratto la fattispecie all'applicazione dell'art. 10, DLgs 171/1998, comma , e ha consentito la valutazione del comportamento dei "trattanti" alla stregua degli artt. 11 e 12 della legge 675/96 (come disposto dal medesimo art. 10, DLgs 171/1998, al comma 2).

Si tratta, in effetti, dei risultati connaturati all'adozione di un regime di circolazione delle informazioni personali complesso e sfaccettato, come quello delineato dalla legge 675/96. Il Garante può applicarlo nel modo più incisivo, ma spetta al legislatore valutare se, e in quale direzione, apportarvi modifiche.