Pubblicata per la prima volta sui quotidiani nazionali una sentenza per spamming

A Napoli quasi 2.000 euro di risarcimento danni al migliaio di persone colpite da spamming

Lo spamming è reato e come tale adesso viene perseguito dalla legge. Di azioni giudiziarie verso gli spammers americani se ne era già sentito parlare, con risarcimenti danni parecchio consistente.

L'attuazione della perseguibilità del reato di spamming anche in Italia ha già reso giustizia da qualche anno, ma arriva alla cronaca soltanto adesso con la notizia di un risarcimento danni di 1000 euro, più 750 euro di spese legali, e la pubblicazione della sentenza di condanna sui maggiori quotidiani nazionali.

Sotto accusa una e-mail di pubblicità indesiderata inviata a una mailing list di un migliaio di persone, che hanno subìto così un' illegittima intrusione nella loro sfera privata.

I messaggi pubblicitari di posta elettronica non richiesti e non "preventivamente autorizzati" - scrive il giudice di Pace di Napoli nelle motivazioni - rappresentano una violazione della legge sulla privacy e la società che li invia "deve rispondere del comportamento illecito dei propri dipendenti".

Nella causa intentata dall'avvocato Angelo Pisani, del movimento "Noi Consumatori", contro un'azienda di articoli sportivi, il magistrato ha affermato, tra l'altro, che l'invio di posta elettronica indesiderata "è illegittimo" sotto due profili: "da un lato per la scorrettezza e l'illiceità del trattamento dei dati personali e dall'altro perché provoca una illegittima intrusione nella sfera privata del soggetto destinatario, e ciò costituisce una lesione della sua riservatezza, com stabilito anche dal Garante per la Privacy".

Per queste ragioni il giudice risarcisce "in via equitativa il danno patrimoniale e il danno morale" e, in particolare, ordina la pubblicazione del provvedimento a spese dell'azienda, sui quotidiani Corriere della Sera, La Repubblica, Il Giornale, Il Messaggero e sui settimanali Panorama ed Espresso.

"La sentenza - ha commentato l'avvocato Pisani ha sostanzialmente anticipato, con una tutela giurisdizionale, i 'filtri informaticì che la Microsoft sta studiando proprio per difendersi dallo spamming. Questo dimostra che il problema esiste ed è più grave di quanto possa apparire".

GuidaSicilia 26 giugno 2004
http://www.guidasicilia.it

Spam

Dopo qualche settimana di permanenza sulla rete, e' impossibile non imbattersi nello SPAM, ecco qui una breve descrizione di che cos'e' lo SPAM, di come prevenirlo.

Cosa e' lo SPAM ?

La SPAM (Spiced Ham), era carne in scatola che veniva fornita ai soldati dell'esercito americano, per questo motivo si guadagno' una fama piuttosto negativa. Nel gergo Internet, lo spam ha invece assunto un significato del tutto differente, ma mantiene la sua connotazione negativa. Lo spamming in Internet consiste nell'invio di messaggi pubblicitari di posta elettronica (SPAM) che non siano stati in alcun modo sollecitati.
Questo genere di messaggi e' conosciuto anche come "UCE" (Unsolicited Commercial EMail), "Junk Mail", ecc...
L'antenato dello spam e' stato negli Stati Uniti l'invio di FAX o messaggi vocali via telefono, sfruttando il fatto che le telefonate urbane erano completamente gratuite. Questo fenomeno e' stato prontamente bloccato attraverso una legge. Purtroppo la strada per bloccare lo spam e' piu' difficile data la natura sovranazionale della rete.

Per avere maggiori informazioni sullo SPAM, questi sono alcuni indirizzi utili:
http://www.cauce.org
http://spam.abuse.net
http://maps.vix.com

Perche' e' male ?

Perche' e' chi riceve che paga. Il provider paga le infrastrutture che vengono abusate, il cliente paga il tempo per scaricare, paga il tempo per leggere esaminare e cancellare quello che quasi sempre sono messaggi che non ha richiesto. Non essendoci virtualmente costi a carico del mittente non esiste quindi un freno al numero dei messaggi inviati che frequentemente raggiungono l'ordine di grandezza delle decine di milioni.

Ancora peggio, per ridurre ulteriormente i costi, gli spammers hanno iniziato ad utilizzare i servers altrui per la distribuzione del proprio spam, avvalendosi del fatto che ancora la maggior parte dei mail servers su Internet permettono questo. Questi comportamenti sono illegali, in quanto causano danno al malcapitato gestore del mail server che si trova un netto incremento di traffico sulle proprie linee oltre a dover perdere parecchio tempo per bloccare l'abuso, rispondere ai destinatari ed eliminare tutti i messaggi che non possono andare a destinazione. Nonostante cio', queste pratiche sono utilizzate continuamente dagli spammers, perche' putroppo sono difficilmente rintracciabili o denunciabili.

Attualmente il traffico di SPAM ricevuto dagli utenti italiani di Internet si quantifica in "qualche messaggio al giorno", ma visti i ritmi di crescita di questo fenomeno e' probabile che in meno di un anno si riceveranno anche molte decine di messaggi al giorno.

Come evitare lo SPAM ?

Non e' facile. Esistono alcuni metodi, alcuni sono totalmente inutili (ad esempio inviare false risposte di casella inesistete), altri lo sono fin troppo (rischiando di rifiutare messaggi legittimi). Non solo, se la cancellazione avviene dopo la ricezione da parte dell'utente, il danno sara' gia' stato causato e lo spammer non si accorgera' di nulla.

Un metodo spesso adottato per evitare che il proprio indirizzo venga inserito nelle mailing lists degli spammers sta nel non pubblicarlo in alcun modo, non utilizzarlo quando si inviano messaggi su usenet (news), non inserirlo in pagine web, non utilizzarlo su ICQ ecc... E' per questo motivo che quando diviene necessario pubblicarlo i comunicarlo in pubblico, si vedono messaggi con indirizzo modificato in modo che non sia estraibile automaticamente (ad esempio pippoNOSPAM@provider.com). Purtroppo e' sufficiente che venga spedito un solo messaggio con l'indirizzo corretto che questo verra' inesorabilmente e definitamente inserito nelle mailing lists, senza possibilita' di rimozione. Quindi, se avete gia' utilizzato anche se una sola volta il vostro indirizzo in pubblico, non sara' piu' utile usare questo sistema.
I metodi piu' efficaci sono quelli attuati da parte del provider. Innanzitutto e' fondamentale non essere ne' la sorgente dello SPAM, ne' il distributore (volontario o non).

Per proteggere i propri clienti e non rischiare la cancellazione di messaggi legittimi, e' possibile non accettare messaggi:

Nei quali l'indirizzo di provenienza non sia valido secondo gli standards di scambio di posta elettronica su Internet.
Nei quali l'indirizzo di provenienza appartenga ad un domain ineistemte.
Da domains e indirizzi di coloro che sono manifestamente spammers.
Dai servers che sono manifestamente appartenenti a spammers
Dai servers che operano il relaying (volontario o involontario) dello SPAM.
Che provengano da servers su blocchi di indirizzi riservati ai modems dei providers.

Si noti che "non accettare" non significa cancellare i messaggi; significa invece comunicare al server mittente il rifiuto del messaggio. Tale server provvede poi a comunicare al mittente che la trasmissione del messaggio non e' andata a buon fine.

Non e' comunque possibile smettere di ricevere spam utilizzando gli indirizzi tipo remove@xxxxx pubblicizzati dagli spammers stessi, perche' nella quasi totalita' dei casi vengono semplicemente ignorati o peggio ancora, servono a confermare allo spammer che gli indirizzi sono veritieri e funzionanti.

Ovviamente la vera soluzione per l'eliminazione definitiva dello SPAM sarebbe una legge apposita, ma la grossa difficolta' sta nel fatto che tale legge dovrebbe essere adottata da tutti gli stati nei quali e' presente un accesso ad Internet, cosa che non sara' attuata se non i tempi prevedibilmente lunghi.
Alcuni stati USA hanno gia' adottato delle legislazioni molto valide in proposito, ad esempio nello stato di Washington esiste una multa di $50 per *ogni* UCE inviata.

Qual e' la posizione di Utility Line Italia riguardo allo SPAM ?

Utility Line Italia condanna ogni forma di SPAM, fa e fara' del proprio meglio perche' questo genere di abusi della Rete sia ostacolato. I nostri server non accettano il relaying di messaggi di posta elettronica che non siano destinati ad uno dei nostri clienti o non provengano da uno di essi (quindi, se siete collegati ad un altro provider, non potete utilizzare il mail server di ULI, dovete utilizzare il server SMTP del provider al quale siete collegati, altrimenti l'invio del messaggio sara' rifiutato e riceverete un errore di "Relaying denied...". Questo vale solo per la posta in uscita, l'accesso alla casella di posta e' consentito da ovunque).
Vengono inoltre applicate tutte le regole elencate nel paragrafo "Come evitare lo SPAM ?". Consideriamo "spammers manifesti" quelli elencati in apposite liste fidate o coloro che hanno inviato spam ad uno dei membri del nostro staff. Le liste delle quali ci fidiamo sono le liste RBL, DUL e RSS del MAPS (gestite da Paul Vixie).

Nel caso fosse uno dei nostri clienti a generare spam, a norma di contratto, il suo account potra' essere sospeso o terminato, fatte salve le conseguenze legali derivanti dal fatto. Se necessario, verranno inoltre informati i providers e i gruppi di discussione interessati. Invitiamo pertanto tutti i nostri clienti ad astenersi nell'inviare messaggi pubblicitari che possano essere ritenuti non sollecitati sia attraverso l'e-mail che via Usenet (news) o con qualsiasi servizio accessibile in Rete (ICQ, IRC etc...), qualora non sia esplicitamente ammesso dalle policies relative.
In caso di dubbio non esitate a contattare il nostro staff, saremo lieti di chiarire ogni Vostro dubbio in proposito.
I filtri antispam sono attivabili/disattivabili nella pagina di configurazione del Suo abbonamento. Sempre li' potra' trovare l'elenco di indirizzi, domini e indirizzi IP presenti nelle nostre liste.

http://www.uli.it/spam.html

[doc. web n. 29840]

Spamming. Regole per un corretto invio delle e-mail pubblicitarie - Provvediemnto generale


GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dr. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI i reclami e le segnalazioni pervenuti all’Autorità circa l’indebito utilizzo della posta elettronica per finalità promozionali e pubblicitarie;

VISTE le decisioni già adottate dal Garante in materia e ritenuto necessario adottare un provvedimento di carattere generale sull’applicazione della disciplina in materia;

VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171 e le altre disposizioni applicabili;

VISTI gli atti d’ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi del’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;


PREMESSO:

1. I DISAGI DI NUMEROSI UTENTI

Continuano a pervenire a questa Autorità diverse centinaia di reclami e segnalazioni da parte di utenti di reti telematiche e di associazioni per la tutela dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di posta elettronica per scopi promozionali, pubblicitari, di informazione commerciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato in precedenza il proprio consenso informato.

Numerosi interessati espongono anche ulteriori disagi derivanti dalla costante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure delle coordinate veritiere di un reale mittente.

Nella prevalenza dei casi, agli interessati non è stato previamente richiesto, come dovuto, uno specifico consenso preceduto da un’idonea informativa che illustri adeguatamente le modalità e le caratteristiche dei messaggi.

In altri casi i messaggi sono inviati da imprese -anche in questo caso senza consenso- per promuovere, presso clienti, prodotti o servizi analoghi a quelli forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o servizi distribuiti anche da terzi.

Il Garante ha fornito assistenza a numerosi cittadini, indicando le opportune modalità di tutela; ha poi attivamente cooperato in sede comunitaria per l’adozione di decisioni comuni alle autorità di garanzia dei Paesi dell’Unione europea, pubblicate nel sito Internet di quest’ultima e in quello del Garante (www.garanteprivacy.it).

L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge n. 675/1996), a seguito dei quali sono stati impartiti specifici divieti di trattamento dei dati. Sono stati altresì avviati i procedimenti per applicare le pertinenti sanzioni amministrative e sono stati trasmessi gli atti all’autorità giudiziaria penale nei casi in cui erano configurabili reati.

Con la collaborazione di forze di polizia, incaricate da questa Autorità di svolgere i necessari controlli e di dare esecuzione ai provvedimenti, sono stati eseguiti in loco, presso fornitori di servizi ed altri titolari di trattamento, vari provvedimenti di sospensione temporanea di ogni operazione illecita del trattamento dei dati personali da parte di società risultate responsabili di attività svolte in modo sistematico. Infine, sono stati eseguiti accertamenti presso altri fornitori di servizi di accesso ad Internet o ulteriori soggetti, per verificare la rispondenza dei trattamenti di dati alla normativa vigente.

A conclusione di queste attività, il Garante ravvisa la necessità di adottare un provvedimento di carattere generale per indicare le misure che gli operatori del settore devono adottare al fine di conformarsi alla disciplina generale sull’uso dei dati personali, specie nel settore delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo 22 maggio 1999, n. 185). L’Autorità ritiene inoltre necessario inibire il trattamento illecito di dati risultante da altre segnalazioni il cui esame è stato riunito in un unico procedimento, in particolare di quelle relative a titolari di trattamento identificabili.

2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA

Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa in materia (art. 1, comma 1 lett. c), legge n. 675).

La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato.

Il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente con un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi.

Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio 2002).

Questa Autorità si è pronunciata più volte in materia ribadendo che la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari (cfr., ra l’altro, la decisione dell’11 gennaio 2001 - in Bollettino del Garante n. 16).

In particolare, i dati dei singoli utenti che prendono parte a gruppi di discussione in Internet sono resi conoscibili in rete per le sole finalità di partecipazione ad una determinata discussione e non possono essere utilizzati per fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere a) e b), legge n. 675).

Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica compresi nella lista “anagrafica” degli abbonati ad un Internet provider (qualora manchi, anche in questo caso, un consenso libero e specifico), oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.

Tali considerazioni valgono anche con riferimento ai messaggi pubblicitari inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o appare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’interessato disponibile all’invio di messaggi pubblicitari).

In tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi per il collegamento telefonico (incrementati anche da messaggi di dimensioni rilevanti che rallentano tali operazioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico.

Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.

Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si verifica anche relativamente a messaggi inviati da singole persone fisiche che, in vari casi esaminati, non si limitano ad una comunicazione episodica, ma intraprendono una comunicazione sistematica per fini personali o, addirittura, una diffusione di dati cui è applicabile la disciplina in materia di protezione dei dati personali (art. 3 legge n. 675).

3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO

La legge individua il contenuto dell’informativa agli interessati, nonché i casi in cui è necessario il consenso espresso dell’interessato o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n. 675).

Al riguardo va nuovamente rilevato che non può farsi a meno del consenso ritenendo che i dati personali relativi all’indirizzo di posta elettronica –e all’indirizzo in particolare- siano “pubblici” in quanto conoscibili da chiunque.

Le disposizioni normative che si riferiscono a questo aspetto (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili solo quando vi è un pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico, e non anche quando i dati personali sono conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai casi già richiamati di raccolta su siti web o di messaggi trasmessi su newsgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite appositi software o mediante comuni motori di ricerca).

Il principio del consenso è quindi già operante nel nostro ordinamento prima ancora di essere affermato senza eccezioni su scala europea, dalla menzionata direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica comunque inviata per fini di commercializzazione diretta (si vedano in particolare l’art. 13 e il considerando n. 40).

Il quadro evidenziato trova conferma nella disciplina sulla protezione dei consumatori nei contratti a distanza che, in riferimento al rapporto sottostante ai fini del quale si procede al trattamento di dati personali, vieta ai fornitori l’impiego della posta elettronica in mancanza del consenso preventivo del consumatore, in relazione a determinati scopi tra i quali rientrano anche quelli pubblicitari (art. 10, comma 1, d.lg. 22 maggio 1999, n. 185).

Per gli aspetti relativi alla protezione dei dati personali non devono essere peraltro considerate le disposizioni del recente decreto legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.).

Il consenso, da documentare per iscritto, deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi (art. 11 legge n. 675).

Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non ricevere più messaggi dello tesso tenore.

Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effettiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano espresso il consenso, nonché di accertare il permanere di tale volontà.

L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso di loro violazione, un trattamento illecito dei dati che:

è già vietato direttamente dalla legge, senza che sia necessario adottare uno specifico provvedimento interdittivo del Garante dell’autorità giudiziaria;- determina, a seconda dei casi, l’applicazione di sanzioni amministrative pecuniarie, in particolare per
omessa informativa od omessa notificazione (artt. 10, 34 e 39 legge n. 675; art. 12 d.lg. n. 185/1999);
comporta il rimborso delle spese e dei diritti relativi al procedimento attivato da un fondato ricorso al Garante, oppure da un’azione dinanzi al giudice civile, come pure il risarcimento dei danni, specie di tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’interessato in relazione ai disagi sopra illustrati;
rende applicabile anche una sanzione penale qualora il trattamento illecito dei dati sia effettuato al fine di trarne per sé o per altri un profitto o per arrecare ad altri un danno, con la pena accessoria della pubblicazione della sentenza di condanna (artt. 35 e 38 legge n. 675).

4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI

Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro possibile integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo a talune società di far conoscere a propri clienti prodotti o servizi analoghi a quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di vendita di prodotti o servizi.

In tali casi, la società titolare del trattamento (dopo aver informato preventivamente e adeguatamente il cliente) potrà procedere all’invio del messaggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto (sia al momento della raccolta dei suoi dati, sia in occasione di ciascun messaggio) il diritto di rifiutare sin dall’inizio tale uso dei dati o di obiettare, gratuitamente e in maniera agevole, anche successivamente (art. 13, par. 2, direttiva n. 2002/58/CE cit.)

5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI

In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.

Tali società, da considerarsi “titolari” o contitolari del trattamento dei dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta utilizzazione dei dati, sono tenute a rispettare le disposizioni in tema di informativa e specifico consenso, anche per quanto riguarda l’eventuale comunicazione di dati personali ai committenti medesimi e le relative finalità.

Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che gli operatori devono verificare con attenzione, anche uando la società specializzata incaricata sia stabilita fuori dell’Unione europea.

Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risultato, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati contenenti gli indirizzi dei destinatari. In questi casi, chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati nell’art. 10 della legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui l’interessato possa esercitare i diritti riconosciuti dalla legge.

6. DIRITTI DEGLI INTERESSATI

Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini commerciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di legge (art. 13, comma 1, lett. e), della legge).

Nel sito Internet del Garante è riportato un modello-tipo per esercitare tali diritti in maniera agevole, gratuitamente e senza particolari formalità, anche verbalmente o mediante posta elettronica, dimostrando la propria identità (art. 17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale modello è utilizzabile in luogo di altri reperibili in reti telematiche che non sono pienamente validi in quanto si riferiscono anche ad aspetti non riconosciuti dall’art. 13 della legge n. 675 (ad esempio, chiedono il rilascio di attestazioni o la copia di autorizzazioni non previste).

I diritti vanno esercitati sulla base di tale modello direttamente presso l’indirizzo conoscibile del titolare o del responsabile del trattamento, riservando solo ad un’eventuale momento successivo l’instaurazione di una procedura contenziosa dinanzi al Garante o all’autorità giudiziaria.

Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo di messaggi pubblicitari senza l’indicazione di un mittente identificabile concreti già oggi un trattamento illecito di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori della materia della protezione dei dati personali) e da quanto, in riferimento ai dati personali, sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’identità del mittente viene camuffata o addirittura celata e quando non viene fornito un indirizzo valido che consenta al destinatario di richiedere la cessazione delle comunicazioni: art. 13, par. 4, dir. cit.).

I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo di posta elettronica- presso cui i destinatari possono esercitare i propri diritti (si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n. 675). Appare altresì conforme al principio di correttezza indicare nell’oggetto del messaggio la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n. 675).

7. ELENCHI DI POSSIBILI DESTINATARI

L’eventuale elenco predisposto da operatori, contenente i nominativi dei soggetti che non hanno manifestato il consenso o che lo hanno revocato (c.d. black list) non può essere utilizzato per porre a carico degli interessati, anche indirettamente, un onere di iscrizione nell’elenco medesimo.

Come si è illustrato, il consenso ha un connotato autorizzatorio “positivo” in base al quale l’eventuale silenzio dell’interessato omporta il diniego del consenso eventualmente richiesto e non rileva come assenso tacito all’invio dei messaggi.

Consta peraltro che alcuni operatori intendono adottare la diversa prassi di redigere anche tramite siti web appositi elenchi di persone che hanno manifestato il consenso, distinti in base alle diverse categorie di messaggi commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale prassi, se correttamente seguita, può rappresentare una misura utile, sul piano organizzativo, per garantire un più effettivo rispetto della volontà espressa dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire agli interessati la possibilità di inserire direttamente il proprio nome nelle diverse liste o di cancellarlo dalle stesse, magari attraverso un’apposita pagina web, ferma restando l’esigenza di identificarli.

8. E-MAIL PROVENIENTI DALL’ESTERO

Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la legge italiana sulla protezione dei dati personali.

Ciò non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente chiedere una verifica da parte della competente autorità nazionale di protezione dei dati personali, ove istituita nel Paese eventualmente individuabile dal messaggio.

In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti.

Va infine tenuto presente che alcune e-mail indesiderate possono essere lo strumento per commettere reati comuni (ad esempio di truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione è avvenuta all’estero, l’evento-reato che ne deriva si è verificato in Italia.

Questa Autorità si riserva di valutare la posizione dei singoli fornitori di servizi i cui trattamenti sono stati oggetto di segnalazione, anche alla luce dell’ulteriore documentazione eventualmente pervenuta.

In questo quadro, con separati provvedimenti relativi all’esame dei singoli reclami e segnalazioni, si provvederà, oltre alle eventuali trasmissioni di atti all’autorità giudiziaria penale:

a) a contestare la violazione amministrativa relativa agli obblighi di informativa di cui all’art. 10 della legge 31 dicembre 1966, n. 675;
b) ad avviare il procedimento per l’applicazione delle ulteriori sanzioni amministrative previste dal d.lg. n. 185/1999;

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta l’ulteriore trattamento illecito di dati personali realizzato a scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, effettuato in violazione delle disposizioni sopra richiamate da parte dei soggetti cui si riferiscono le segnalazioni e i reclami pervenuti;
ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675, segnala ai titolari del trattamento di cui agli atti del procedimento la necessità di conformare i trattamenti di dati personali ai principi richiamati nel presente provvedimento.

Roma, 29 maggio 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli

http://www.garanteprivacy.it/garante/doc.jsp?ID=29840