|
Mail spamming: provvedimento del 29 maggio 2003
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano
Rasi e del dr. Mauro Paissan, componenti e del dott. Giovanni Buttarelli,
segretario generale;
VISTI i reclami e le segnalazioni pervenuti all'Autorità
circa l'indebito utilizzo della posta elettronica per finalità
promozionali e pubblicitarie;
VISTE le decisioni già adottate dal Garante in materia
e ritenuto necessario adottare un provvedimento di carattere generale
sull'applicazione della disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171
e le altre disposizioni applicabili;
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai
sensi del'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO:
1. I DISAGI DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di
reclami e segnalazioni da parte di utenti di reti telematiche e di associazioni
per la tutela dei diritti di utenti e consumatori, che contestano la ricezione
di messaggi di posta elettronica per scopi promozionali, pubblicitari, di
informazione commerciale o di vendita diretta, inviati senza che gli interessati
abbiano manifestato in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi
derivanti dalla costante ripetizione di analoghi messaggi da parte di uno stesso
mittente titolare del trattamento, dai vani tentativi esperiti per ottenere sia
la cancellazione del proprio indirizzo di posta elettronica presso i mittenti,
sia l'interruzione di altri messaggi. Altre segnalazioni riguardano gli
inconvenienti che derivano dalla ricezione di e-mail anonime o prive
dell'indicazione di un indirizzo, oppure delle coordinate veritiere di un
reale mittente.
Nella prevalenza dei casi, agli interessati non è
stato previamente richiesto, come dovuto, uno specifico consenso preceduto da
un'idonea informativa che illustri adeguatamente le modalità e le
caratteristiche dei messaggi.
In altri casi i messaggi sono inviati da imprese -anche in
questo caso senza consenso- per promuovere, presso clienti, prodotti o servizi
analoghi a quelli forniti in un rapporto contrattuale, oppure per offrire altri
tipi di prodotti o servizi distribuiti anche da terzi.
Il Garante ha fornito assistenza a numerosi cittadini,
indicando le opportune modalità di tutela; ha poi attivamente cooperato
in sede comunitaria per l'adozione di decisioni comuni alle autorità di
garanzia dei Paesi dell'Unione europea, pubblicate nel sito Internet di
quest'ultima e in quello del Garante (www.garanteprivacy.it).
L'Autorità ha anche accolto numerosi ricorsi (art. 29 legge n.
675/1996), a seguito dei quali sono stati impartiti specifici divieti di
trattamento dei dati. Sono stati altresì avviati i procedimenti per
applicare le pertinenti sanzioni amministrative e sono stati trasmessi gli atti
all'autorità giudiziaria penale nei casi in cui erano configurabili
reati.
Con la collaborazione di forze di polizia, incaricate da
questa Autorità di svolgere i necessari controlli e di dare esecuzione ai
provvedimenti, sono stati eseguiti in loco, presso fornitori di servizi ed altri
titolari di trattamento, vari provvedimenti di sospensione temporanea di ogni
operazione illecita del trattamento dei dati personali da parte di società
risultate responsabili di attività svolte in modo sistematico. Infine,
sono stati eseguiti accertamenti presso altri fornitori di servizi di accesso ad
Internet o ulteriori soggetti, per verificare la rispondenza dei trattamenti di
dati alla normativa vigente.
A conclusione di queste attività, il Garante ravvisa
la necessità di adottare un provvedimento di carattere generale per
indicare le misure che gli operatori del settore devono adottare al fine di
conformarsi alla disciplina generale sull'uso dei dati personali, specie nel
settore delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675,
al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo 22 maggio
1999, n. 185). L'Autorità ritiene inoltre necessario inibire il
trattamento illecito di dati risultante da altre segnalazioni il cui esame
è stato riunito in un unico procedimento, in particolare di quelle
relative a titolari di trattamento identificabili.
2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di posta elettronica recano dati di carattere personale
da trattare nel rispetto della normativa in materia (art. 1, comma 1 lett.
c), legge n. 675).
La loro utilizzazione per scopi promozionali e pubblicitari
è possibile solo se il soggetto cui riferiscono i dati ha manifestato in
precedenza un consenso libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi
sono formati ed utilizzati automaticamente con un software senza l'intervento
di un operatore, o in mancanza di una previa verifica della loro attuale
attivazione o dell'identità del destinatario del messaggio, e anche
quando gli indirizzi non sono registrati dopo l'invio dei messaggi.
Questo assetto, basato su una scelta dell'interessato c.d.
di opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima ancora
che una recente direttiva comunitaria lo estendesse a tutti i Paesi
dell'Unione europea (n. 2002/58/CE in fase di recepimento in Italia,
pubblicata sulla G.U.C.E. n. L 201 del 31 luglio 2002).
Questa Autorità si è pronunciata più
volte in materia ribadendo che la circostanza che gli indirizzi di posta
elettronica possano essere reperiti con una certa facilità in Internet
non comporta il diritto di utilizzarli liberamente per inviare messaggi
pubblicitari (cfr., ra l'altro, la decisione dell'11 gennaio 2001 - in
Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di
discussione in Internet sono resi conoscibili in rete per le sole finalità
di partecipazione ad una determinata discussione e non possono essere utilizzati
per fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere
a) e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di
posta elettronica compresi nella lista "anagrafica" degli abbonati ad un
Internet provider (qualora manchi, anche in questo caso, un consenso libero e
specifico), oppure pubblicati su siti web di soggetti pubblici per fini
istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi
pubblicitari inviati a gestori di siti web -anche di soggetti privati -
utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili
consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. In
quest'ultimo caso, infatti, la conoscibilità in rete degli indirizzi
è volta a identificare il soggetto che è o appare responsabile,
sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni
rispetto a servizi Internet (per la tutela di vari diritti sul piano civile e
penale, anche ai sensi della legge n. 675) e non anche a rendere l'interessato
disponibile all'invio di messaggi pubblicitari).
In tutti questi casi, l'utilizzo spesso massivo della posta
elettronica comporta una lesione ingiustificata dei diritti dei destinatari,
costretti ad impiegare diverso tempo per mantenere un collegamento e per
ricevere, come pure per esaminare e selezionare, tra i diversi messaggi
ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi
per il collegamento telefonico (incrementati anche da messaggi di dimensioni
rilevanti che rallentano tali operazioni), oppure ad adottare "filtri", a
verificare più attentamente la presenza di virus, o a cancellare
rapidamente materiali inadatti a minori specie in ambito domestico.
Il fenomeno interessa anche piccole e grandi imprese
destinatarie di un elevato numero di messaggi, le quali devono farsi carico di
misure interne e di costi anche organizzativi per contrastarlo.
Questo ingiustificato riversamento sugli utenti dei costi
pubblicitari si verifica anche relativamente a messaggi inviati da singole
persone fisiche che, in vari casi esaminati, non si limitano ad una
comunicazione episodica, ma intraprendono una comunicazione sistematica per fini
personali o, addirittura, una diffusione di dati cui è applicabile la
disciplina in materia di protezione dei dati personali (art. 3 legge n. 675).
3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua il contenuto dell'informativa agli interessati,
nonché i casi in cui è necessario il consenso espresso
dell'interessato o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n.
675).
Al riguardo va nuovamente rilevato che non può farsi a
meno del consenso ritenendo che i dati personali relativi all'indirizzo di
posta elettronica - e all'indirizzo in particolare - siano "pubblici" in
quanto conoscibili da chiunque.
Le disposizioni normative che si riferiscono a questo aspetto
(artt. 12, comma 1,
lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti
applicabili solo quando vi è un pubblico registro, elenco, atto o
documento conoscibile da chiunque perché vi è una specifica disciplina
che ne impone la conoscibilità indifferenziata da parte del pubblico, e
non anche quando i dati personali sono conoscibili da chiunque per mere
circostanze di fatto (si pensi, oltre ai casi già richiamati di raccolta
su siti web o di messaggi trasmessi su newsgroup o su mailing list, agli
indirizzi di posta elettronica raccolti in rete tramite appositi software o
mediante comuni motori di ricerca).
Il principio del consenso è quindi già operante
nel nostro ordinamento prima ancora di essere affermato senza eccezioni su scala
europea, dalla menzionata direttiva n. 2002/58 in fase di recepimento, a tutta
la posta elettronica comunque inviata per fini di commercializzazione diretta
(si vedano in particolare l'art. 13 e il considerando n. 40).
Il quadro evidenziato trova conferma nella disciplina sulla
protezione dei consumatori nei contratti a distanza che, in riferimento al
rapporto sottostante ai fini del quale si procede al trattamento di dati
personali, vieta ai fornitori l'impiego della posta elettronica in mancanza
del consenso preventivo del consumatore, in relazione a determinati scopi tra i
quali rientrano anche quelli pubblicitari (art. 10, comma 1, d.lg. 22 maggio
1999, n. 185).
Per gli aspetti relativi alla protezione dei dati personali
non devono essere peraltro considerate le disposizioni del recente decreto
legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in
proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70
cit.).
Il consenso, da documentare per iscritto, deve essere
manifestato liberamente, in modo esplicito e in forma differenziata rispetto
alle diverse finalità e alle categorie di servizi e prodotti offerti,
prima dell'inoltro dei messaggi (art. 11 legge n. 675).
Tale disciplina non può essere elusa inviando una
prima e-mail che, nel chiedere un consenso abbia comunque un contenuto
promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo
c.d. "opt-out" al fine di non ricevere più messaggi dello tesso
tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori
i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno
semplice conferma della sua manifestazione, attraverso un messaggio volto
unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale
prassi, se utilizzata correttamente, consente tra l'altro di verificare
l'effettiva corrispondenza dell'indirizzo di posta elettronica ai soggetti
che avevano espresso il consenso, nonché di accertare il permanere di tale
volontà.
L'insieme dei diritti riconosciuti dalla legge agli utenti
determina, in caso di loro violazione, un trattamento illecito dei dati che:
-
è già vietato direttamente dalla legge, senza che sia necessario
adottare uno specifico provvedimento interdittivo del Garante dell'autorità
giudiziaria;- determina, a seconda dei casi, l'applicazione di sanzioni
amministrative pecuniarie, in particolare per
omessa informativa od omessa notificazione (artt. 10, 34 e 39 legge n. 675;
art. 12 d.lg. n. 185/1999);
-
comporta il rimborso delle spese e dei diritti relativi al procedimento attivato
da un fondato ricorso al Garante, oppure da un'azione dinanzi al giudice
civile, come pure il risarcimento dei danni, specie di tipo patrimoniale, che
derivino dai fatti illeciti e siano comprovati dall'interessato in relazione
ai disagi sopra illustrati;
-
rende applicabile anche una sanzione penale qualora il trattamento illecito dei
dati sia effettuato al fine di trarne per sé o per altri un profitto o per
arrecare ad altri un danno, con la pena accessoria della pubblicazione della
sentenza di condanna (artt. 35 e 38 legge n. 675).
4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI
Per effetto del recepimento della direttiva 2002/58/CE sarà
peraltro possibile integrare, nel prossimo futuro, la disciplina sopra
illustrata, permettendo a talune società di far conoscere a propri
clienti prodotti o servizi analoghi a quelli per i quali si è già
stabilito un rapporto, con i medesimi clienti, di vendita di prodotti o servizi.
In tali casi, la società titolare del trattamento
(dopo aver informato preventivamente e adeguatamente il cliente) potrà
procedere all'invio del messaggio pubblicitario, offrendo però al
cliente, in modo chiaro e distinto (sia al momento della raccolta dei suoi dati,
sia in occasione di ciascun messaggio) il diritto di rifiutare sin dall'inizio
tale uso dei dati o di obiettare, gratuitamente e in maniera agevole, anche
successivamente (art. 13, par. 2, direttiva n. 2002/58/CE cit.).
5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi portati all'attenzione del Garante, l'invio di
messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da
società specializzate che utilizzano indirizzi di posta elettronica
contenuti in proprie banche dati.
Tali società, da considerarsi "titolari" o
contitolari del trattamento dei dati a seconda del rapporto che si instaura con
il committente e delle modalità di concreta utilizzazione dei dati, sono
tenute a rispettare le disposizioni in tema di informativa e specifico consenso,
anche per quanto riguarda l'eventuale comunicazione di dati personali ai
committenti medesimi e le relative finalità.
Ciò comporta un quadro di obblighi e possibili
responsabilità anche penali che gli operatori devono verificare con
attenzione, anche quando la società specializzata incaricata sia stabilita
fuori dell'Unione europea.
Dall'esame dei reclami e delle segnalazioni pervenuti al Garante è
risultato, altresì, che alcuni dei soggetti che hanno utilizzato la posta
elettronica per l'invio di messaggi pubblicitari avevano acquisito da terzi le
banche dati contenenti gli indirizzi dei destinatari. In questi casi, chi
acquisisce la banca dati deve accertare che ciascun interessato abbia
validamente acconsentito alla comunicazione del proprio indirizzo di posta
elettronica ed al suo successivo utilizzo ai fini di invio di materiale
pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso,
a tutti gli interessati, un messaggio di informativa che precisi gli elementi
indicati nell'art. 10 della legge n. 675, comprensivi di un riferimento di
luogo -e non solo di posta elettronica- presso cui l'interessato possa
esercitare i diritti riconosciuti dalla legge.
6. DIRITTI DEGLI INTERESSATI
Indipendentemente dal rapporto esistente tra i mittenti ed i
destinatari dei messaggi, chi detiene i dati deve assicurare in ogni caso agli
interessati la possibilità di far valere in ogni momento i diritti
riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale
fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro
ulteriore utilizzazione ai fini commerciali-pubblicitari, oppure per far
cancellare i dati trattati in violazione di legge (art. 13, comma 1, lett.
e), della legge).
Nel sito Internet del Garante è riportato un
modello-tipo per esercitare tali diritti in maniera agevole, gratuitamente e
senza particolari formalità, anche verbalmente o mediante posta
elettronica, dimostrando la propria identità (art. 17, comma 1, d.P.R. n.
501 del 31 marzo 1998). Tale modello è utilizzabile in luogo di altri
reperibili in reti telematiche che non sono pienamente validi in quanto si
riferiscono anche ad aspetti non riconosciuti dall'art. 13 della legge n.
675 (ad esempio, chiedono il rilascio di attestazioni o la copia di
autorizzazioni non previste).
I diritti vanno esercitati sulla base di tale modello
direttamente presso l'indirizzo conoscibile del titolare o del responsabile
del trattamento, riservando solo ad un'eventuale momento successivo
l'instaurazione di una procedura contenziosa dinanzi al Garante o
all'autorità giudiziaria.
Anche ai fini dell'esercizio di tali diritti, deve
ritenersi che l'invio anonimo di messaggi pubblicitari senza l'indicazione
di un mittente identificabile concreti già oggi un trattamento illecito
di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003
sul commercio elettronico (come si è visto, fuori della materia della
protezione dei dati personali) e da quanto, in riferimento ai dati personali,
sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale
non consente l'invio di messaggi pubblicitari quando l'identità del
mittente viene camuffata o addirittura celata e quando non viene fornito un
indirizzo valido che consenta al destinatario di richiedere la cessazione delle
comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già
oggi, in modo chiaro, la fonte di provenienza del messaggio, nonché il soggetto
e l'indirizzo -non solo di posta elettronica- presso cui i destinatari
possono esercitare i propri diritti (si veda, in proposito, l'art. 10, comma
1, lett. f) della legge n. 675). Appare altresì conforme al principio di
correttezza indicare nell'oggetto del messaggio la sua tipologia
pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n. 675).
7. ELENCHI DI POSSIBILI DESTINATARI
L'eventuale elenco predisposto da operatori, contenente i nominativi
dei soggetti che non hanno manifestato il consenso o che lo hanno revocato (c.d.
black list) non può essere utilizzato per porre a carico degli
interessati, anche indirettamente, un onere di iscrizione nell'elenco
medesimo.
Come si è illustrato, il consenso ha un connotato
autorizzatorio "positivo" in base al quale l'eventuale silenzio
dell'interessato comporta il diniego del consenso eventualmente richiesto e non
rileva come assenso tacito all'invio dei messaggi.
Consta peraltro che alcuni operatori intendono adottare la diversa prassi di
redigere anche tramite siti web appositi elenchi di persone che hanno
manifestato il consenso, distinti in base alle diverse categorie di messaggi
commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale
prassi, se correttamente seguita, può rappresentare una misura utile, sul
piano organizzativo, per garantire un più effettivo rispetto della volontà
espressa dai singoli. A tale riguardo, costituirà una pratica utile
quella di garantire agli interessati la possibilità di inserire
direttamente il proprio nome nelle diverse liste o di cancellarlo dalle stesse,
magari attraverso un'apposita pagina web, ferma restando l'esigenza di
identificarli.
8. E-MAIL PROVENIENTI DALL'ESTERO
Ad alcuni messaggi, in quanto provenienti dall'estero, non è
applicabile la legge italiana sulla protezione dei dati personali.
Ciò non comporta l'assoluta mancanza di rimedi o
tutela, potendo l'utente chiedere una verifica da parte della competente
autorità nazionale di protezione dei dati personali, ove istituita nel
Paese eventualmente individuabile dal messaggio.
In altri casi, come quelli relativi alle leggi degli stati
federali, l'invio di messaggi pubblicitari di posta elettronica può
essere illecito in base alla legge di alcuni stati, per cui è parimenti
possibile, per gli utenti, chiedere alle competenti autorità pubbliche
degli stati di valutare la perseguibilità degli illeciti.
Va infine tenuto presente che alcune e-mail indesiderate
possono essere lo strumento per commettere reati comuni (ad esempio di truffa)
che devono considerarsi commessi nel territorio italiano quando, sebbene
l'azione è avvenuta all'estero, l'evento-reato che ne deriva si
è verificato in Italia.
Questa Autorità si riserva di valutare la posizione
dei singoli fornitori di servizi i cui trattamenti sono stati oggetto di
segnalazione, anche alla luce dell'ulteriore documentazione eventualmente
pervenuta.
In questo quadro, con separati provvedimenti relativi
all'esame dei singoli reclami e segnalazioni, si provvederà, oltre alle
eventuali trasmissioni di atti all'autorità giudiziaria penale:
a) a contestare la violazione amministrativa relativa
agli obblighi di informativa di cui all'art. 10 della legge 31
dicembre 1966, n. 675;
b) ad avviare il procedimento per l'applicazione delle ulteriori sanzioni
amministrative previste dal d.lg. n. 185/1999;
TUTTO CIÒ PREMESSO IL GARANTE:
-
ai sensi dell'art.
31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta
l'ulteriore trattamento illecito di dati personali realizzato a scopi di invio
di materiale pubblicitario o di vendita diretta, ovvero per il compimento di
ricerche di mercato o di comunicazione commerciale interattiva, effettuato in
violazione delle disposizioni sopra richiamate da parte dei soggetti cui si
riferiscono le segnalazioni e i reclami pervenuti;
-
ai sensi dell'art.
31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675, segnala ai
titolari del trattamento di cui agli atti del procedimento la necessità
di conformare i trattamenti di dati personali ai principi richiamati nel
presente provvedimento.
Roma, 29 maggio 2003
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
|
Pagina stampabile
