|
Provvedimento
generale anti-spamming
GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del
prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dr.
Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTI i reclami e le segnalazioni pervenuti all’Autorità circa l’indebito
utilizzo della posta elettronica per finalità promozionali e pubblicitarie;
VISTE le decisioni già adottate dal Garante in materia e ritenuto necessario
adottare un provvedimento di carattere generale sull’applicazione della
disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171 e le
altre disposizioni applicabili;
VISTI gli atti d’ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi del’art. 15 del
regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO:
1. I DISAGI DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di reclami e
segnalazioni da parte di utenti di reti telematiche e di associazioni per la
tutela dei diritti di utenti e consumatori, che contestano la ricezione di
messaggi di posta elettronica per scopi promozionali, pubblicitari, di
informazione commerciale o di vendita diretta, inviati senza che gli interessati
abbiano manifestato in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi derivanti dalla costante
ripetizione di analoghi messaggi da parte di uno stesso mittente titolare del
trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del
proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di
altri messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano
dalla ricezione di e-mail anonime o prive dell’indicazione di un indirizzo,
oppure delle coordinate veritiere di un reale mittente.
Nella prevalenza dei casi, agli interessati non è stato previamente richiesto,
come dovuto, uno specifico consenso preceduto da un’idonea informativa che
illustri adeguatamente le modalità e le caratteristiche dei messaggi.
In altri casi i messaggi sono inviati da imprese -anche in questo caso senza
consenso- per promuovere, presso clienti, prodotti o servizi analoghi a quelli
forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o
servizi distribuiti anche da terzi.
Il Garante ha fornito assistenza a numerosi cittadini, indicando le opportune
modalità di tutela; ha poi attivamente cooperato in sede comunitaria per
l’adozione di decisioni comuni alle autorità di garanzia dei Paesi dell’Unione
europea, pubblicate nel sito Internet di quest’ultima e in quello del Garante
(www.garanteprivacy.it).
L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge n. 675/1996), a
seguito dei quali sono stati impartiti specifici divieti di trattamento dei
dati. Sono stati altresì avviati i procedimenti per applicare le pertinenti
sanzioni amministrative e sono stati trasmessi gli atti all’autorità giudiziaria
penale nei casi in cui erano configurabili reati.
Con la collaborazione di forze di polizia, incaricate da questa Autorità di
svolgere i necessari controlli e di dare esecuzione ai provvedimenti, sono stati
eseguiti in loco, presso fornitori di servizi ed altri titolari di trattamento,
vari provvedimenti di sospensione temporanea di ogni operazione illecita del
trattamento dei dati personali da parte di società risultate responsabili di
attività svolte in modo sistematico. Infine, sono stati eseguiti accertamenti
presso altri fornitori di servizi di accesso ad Internet o ulteriori soggetti,
per verificare la rispondenza dei trattamenti di dati alla normativa vigente.
A conclusione di queste attività, il Garante ravvisa la necessità di adottare un
provvedimento di carattere generale per indicare le misure che gli operatori del
settore devono adottare al fine di conformarsi alla disciplina generale sull’uso
dei dati personali, specie nel settore delle comunicazioni (in particolare, alla
legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio 1998, n. 171 e
al decreto legislativo 22 maggio 1999, n. 185). L’Autorità ritiene inoltre
necessario inibire il trattamento illecito di dati risultante da altre
segnalazioni il cui esame è stato riunito in un unico procedimento, in
particolare di quelle relative a titolari di trattamento identificabili.
2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di posta elettronica recano dati di carattere personale da
trattare nel rispetto della normativa in materia (art. 1, comma 1 lett. c),
legge n. 675).
La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se
il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso
libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati
automaticamente con un software senza l’intervento di un operatore, o in
mancanza di una previa verifica della loro attuale attivazione o dell’identità
del destinatario del messaggio, e anche quando gli indirizzi non sono registrati
dopo l’invio dei messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è stato
ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva
comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in
fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio
2002).
Questa Autorità si è pronunciata più volte in materia ribadendo che la
circostanza che gli indirizzi di posta elettronica possano essere reperiti con
una certa facilità in Internet non comporta il diritto di utilizzarli
liberamente per inviare messaggi pubblicitari (cfr., ra l’altro, la decisione
dell’11 gennaio 2001 - in Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di
discussione in Internet sono resi conoscibili in rete per le sole finalità di
partecipazione ad una determinata discussione e non possono essere utilizzati
per fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere
a) e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica
compresi nella lista “anagrafica” degli abbonati ad un Internet provider
(qualora manchi, anche in questo caso, un consenso libero e specifico), oppure
pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicitari
inviati a gestori di siti web -anche di soggetti privati- utilizzando gli
indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli
elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo
caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare
il soggetto che è o appare responsabile, sul piano tecnico o amministrativo, di
un nome a dominio o di altre funzioni rispetto a servizi Internet (per la tutela
di vari diritti sul piano civile e penale, anche ai sensi della legge n. 675) e
non anche a rendere l’interessato disponibile all’invio di messaggi
pubblicitari).
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta
una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare
diverso tempo per mantenere un collegamento e per ricevere, come pure per
esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o
ricevibili, nonché a sostenere i correlativi costi per il collegamento
telefonico (incrementati anche da messaggi di dimensioni rilevanti che
rallentano tali operazioni), oppure ad adottare “filtri”, a verificare più
attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti
a minori specie in ambito domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato
numero di messaggi, le quali devono farsi carico di misure interne e di costi
anche organizzativi per contrastarlo.
Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si
verifica anche relativamente a messaggi inviati da singole persone fisiche che,
in vari casi esaminati, non si limitano ad una comunicazione episodica, ma
intraprendono una comunicazione sistematica per fini personali o, addirittura,
una diffusione di dati cui è applicabile la disciplina in materia di protezione
dei dati personali (art. 3 legge n. 675).
3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua il contenuto dell’informativa agli interessati, nonché i casi
in cui è necessario il consenso espresso dell’interessato o è possibile
prescinderne (artt. 10, 11, 12 e 20 legge n. 675).
Al riguardo va nuovamente rilevato che non può farsi a meno del consenso
ritenendo che i dati personali relativi all’indirizzo di posta elettronica –e
all’indirizzo in particolare- siano “pubblici” in quanto conoscibili da
chiunque.
Le disposizioni normative che si riferiscono a questo aspetto (artt. 12, comma
1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili solo
quando vi è un pubblico registro, elenco, atto o documento conoscibile da
chiunque perché vi è una specifica disciplina che ne impone la conoscibilità
indifferenziata da parte del pubblico, e non anche quando i dati personali sono
conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai casi
già richiamati di raccolta su siti web o di messaggi trasmessi su newsgroup o su
mailing list, agli indirizzi di posta elettronica raccolti in rete tramite
appositi software o mediante comuni motori di ricerca).
Il principio del consenso è quindi già operante nel nostro ordinamento prima
ancora di essere affermato senza eccezioni su scala europea, dalla menzionata
direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica
comunque inviata per fini di commercializzazione diretta (si vedano in
particolare l’art. 13 e il considerando n. 40).
Il quadro evidenziato trova conferma nella disciplina sulla protezione dei
consumatori nei contratti a distanza che, in riferimento al rapporto sottostante
ai fini del quale si procede al trattamento di dati personali, vieta ai
fornitori l’impiego della posta elettronica in mancanza del consenso preventivo
del consumatore, in relazione a determinati scopi tra i quali rientrano anche
quelli pubblicitari (art. 10, comma 1, d.lg. 22 maggio 1999, n. 185).
Per gli aspetti relativi alla protezione dei dati personali non devono essere
peraltro considerate le disposizioni del recente decreto legislativo 9 aprile
2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente
inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.).
Il consenso, da documentare per iscritto, deve essere manifestato liberamente,
in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle
categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi (art.
11 legge n. 675).
Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere
un consenso abbia comunque un contenuto promozionale oppure pubblicitario,
oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non
ricevere più messaggi dello tesso tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i
quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno
semplice conferma della sua manifestazione, attraverso un messaggio volto
unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale
prassi, se utilizzata correttamente, consente tra l’altro di verificare
l’effettiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che
avevano espresso il consenso, nonché di accertare il permanere di tale volontà.
L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso di
loro violazione, un trattamento illecito dei dati che:
è già vietato direttamente dalla legge, senza che sia necessario adottare uno
specifico provvedimento interdittivo del Garante dell’autorità giudiziaria;-
determina, a seconda dei casi, l’applicazione di sanzioni amministrative
pecuniarie, in particolare per
omessa informativa od omessa notificazione (artt. 10, 34 e 39 legge n. 675; art.
12 d.lg. n. 185/1999);
comporta il rimborso delle spese e dei diritti relativi al procedimento attivato
da un fondato ricorso al Garante, oppure da un’azione dinanzi al giudice civile,
come pure il risarcimento dei danni, specie di tipo patrimoniale, che derivino
dai fatti illeciti e siano comprovati dall’interessato in relazione ai disagi
sopra illustrati;
rende applicabile anche una sanzione penale qualora il trattamento illecito dei
dati sia effettuato al fine di trarne per sé o per altri un profitto o per
arrecare ad altri un danno, con la pena accessoria della pubblicazione della
sentenza di condanna (artt. 35 e 38 legge n. 675).
4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI
Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro possibile
integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo a
talune società di far conoscere a propri clienti prodotti o servizi analoghi a
quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di
vendita di prodotti o servizi.
In tali casi, la società titolare del trattamento (dopo aver informato
preventivamente e adeguatamente il cliente) potrà procedere all’invio del
messaggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto
(sia al momento della raccolta dei suoi dati, sia in occasione di ciascun
messaggio) il diritto di rifiutare sin dall’inizio tale uso dei dati o di
obiettare, gratuitamente e in maniera agevole, anche successivamente (art. 13,
par. 2, direttiva n. 2002/58/CE cit.)
5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi portati all’attenzione del Garante, l’invio di messaggi
pubblicitari era stato effettuato, per conto di terzi committenti, da società
specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie
banche dati.
Tali società, da considerarsi “titolari” o contitolari del trattamento dei dati
a seconda del rapporto che si instaura con il committente e delle modalità di
concreta utilizzazione dei dati, sono tenute a rispettare le disposizioni in
tema di informativa e specifico consenso, anche per quanto riguarda l’eventuale
comunicazione di dati personali ai committenti medesimi e le relative finalità.
Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che
gli operatori devono verificare con attenzione, anche uando la società
specializzata incaricata sia stabilita fuori dell’Unione europea.
Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risultato,
altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per
l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati
contenenti gli indirizzi dei destinatari. In questi casi, chi acquisisce la
banca dati deve accertare che ciascun interessato abbia validamente acconsentito
alla comunicazione del proprio indirizzo di posta elettronica ed al suo
successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in
cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un
messaggio di informativa che precisi gli elementi indicati nell’art. 10 della
legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta
elettronica- presso cui l’interessato possa esercitare i diritti riconosciuti
dalla legge.
6. DIRITTI DEGLI INTERESSATI
Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei
messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la
possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i
quali sono spesso esercitati per conoscere da quale fonte sono stati tratti i
dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai
fini commerciali-pubblicitari, oppure per far cancellare i dati trattati in
violazione di legge (art. 13, comma 1, lett. e), della legge).
Nel sito Internet del Garante è riportato un modello-tipo per esercitare tali
diritti in maniera agevole, gratuitamente e senza particolari formalità, anche
verbalmente o mediante posta elettronica, dimostrando la propria identità (art.
17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale modello è utilizzabile in
luogo di altri reperibili in reti telematiche che non sono pienamente validi in
quanto si riferiscono anche ad aspetti non riconosciuti dall’art. 13 della legge
n. 675 (ad esempio, chiedono il rilascio di attestazioni o la copia di
autorizzazioni non previste).
I diritti vanno esercitati sulla base di tale modello direttamente presso
l’indirizzo conoscibile del titolare o del responsabile del trattamento,
riservando solo ad un’eventuale momento successivo l’instaurazione di una
procedura contenziosa dinanzi al Garante o all’autorità giudiziaria.
Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo
di messaggi pubblicitari senza l’indicazione di un mittente identificabile
concreti già oggi un trattamento illecito di dati personali, a prescindere da
quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è
visto, fuori della materia della protezione dei dati personali) e da quanto, in
riferimento ai dati personali, sarà previsto con il recepimento della direttiva
n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando
l’identità del mittente viene camuffata o addirittura celata e quando non viene
fornito un indirizzo valido che consenta al destinatario di richiedere la
cessazione delle comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la
fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo
di posta elettronica- presso cui i destinatari possono esercitare i propri
diritti (si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n.
675). Appare altresì conforme al principio di correttezza indicare nell’oggetto
del messaggio la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett.
a), legge n. 675).
7. ELENCHI DI POSSIBILI DESTINATARI
L’eventuale elenco predisposto da operatori, contenente i nominativi dei
soggetti che non hanno manifestato il consenso o che lo hanno revocato (c.d.
black list) non può essere utilizzato per porre a carico degli interessati,
anche indirettamente, un onere di iscrizione nell’elenco medesimo.
Come si è illustrato, il consenso ha un connotato autorizzatorio “positivo” in
base al quale l’eventuale silenzio dell’interessato omporta il diniego del
consenso eventualmente richiesto e non rileva come assenso tacito all’invio dei
messaggi.
Consta peraltro che alcuni operatori intendono adottare la diversa prassi di
redigere anche tramite siti web appositi elenchi di persone che hanno
manifestato il consenso, distinti in base alle diverse categorie di messaggi
commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale
prassi, se correttamente seguita, può rappresentare una misura utile, sul piano
organizzativo, per garantire un più effettivo rispetto della volontà espressa
dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire
agli interessati la possibilità di inserire direttamente il proprio nome nelle
diverse liste o di cancellarlo dalle stesse, magari attraverso un’apposita
pagina web, ferma restando l’esigenza di identificarli.
8. E-MAIL PROVENIENTI DALL’ESTERO
Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la
legge italiana sulla protezione dei dati personali.
Ciò non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente
chiedere una verifica da parte della competente autorità nazionale di protezione
dei dati personali, ove istituita nel Paese eventualmente individuabile dal
messaggio.
In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di
messaggi pubblicitari di posta elettronica può essere illecito in base alla
legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere
alle competenti autorità pubbliche degli stati di valutare la perseguibilità
degli illeciti.
Va infine tenuto presente che alcune e-mail indesiderate possono essere lo
strumento per commettere reati comuni (ad esempio di truffa) che devono
considerarsi commessi nel territorio italiano quando, sebbene l’azione è
avvenuta all’estero, l’evento-reato che ne deriva si è verificato in Italia.
Questa Autorità si riserva di valutare la posizione dei singoli fornitori di
servizi i cui trattamenti sono stati oggetto di segnalazione, anche alla luce
dell’ulteriore documentazione eventualmente pervenuta.
In questo quadro, con separati provvedimenti relativi all’esame dei singoli
reclami e segnalazioni, si provvederà, oltre alle eventuali trasmissioni di atti
all’autorità giudiziaria penale:
a) a contestare la violazione amministrativa relativa agli obblighi di
informativa di cui all’art. 10 della legge 31 dicembre 1966, n. 675;
b) ad avviare il procedimento per l’applicazione delle ulteriori sanzioni
amministrative previste dal d.lg. n. 185/1999;
TUTTO CIÒ PREMESSO IL GARANTE:
ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675,
vieta l’ulteriore trattamento illecito di dati personali realizzato a scopi di
invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale interattiva, effettuato in
violazione delle disposizioni sopra richiamate da parte dei soggetti cui si
riferiscono le segnalazioni e i reclami pervenuti;
ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675,
segnala ai titolari del trattamento di cui agli atti del procedimento la
necessità di conformare i trattamenti di dati personali ai principi richiamati
nel presente provvedimento.
Roma, 29 maggio 2003
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
|