testata ADUC
Garante privacy: stop a fax, mail e telefonate selvaggi. Regole per le aziende e tutele per il consumatore vittime di spam (parte prima)
Scarica e stampa il PDF
Diritto digitale di Deborah Bianchi*
21 novembre 2009 12:16
 
L'uso di sistemi automatizzati per inviare messaggi promozionali, come è il fax (ma il discorso vale anche per sms, mms, e-mail, etc.) impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari (principio dell'opt-in), anche quando si tratti di dati estratti da elenchi categorici o da albi (Art 130 Codice Privacy).
Il principio dell’opt-in in è ribadito dall’ultima Newsletter del Garante Privacy del 17 novembre scorso in materia di invio di messaggi pubblicitari senza il consenso del destinatario ovvero in materia di spamming.
Il Garante per la protezione dei dati personali è intervenuto nei confronti di  una società alla quale è stato vietato l'ulteriore trattamento di dati personali, utilizzati senza consenso dei destinatari per l'invio di pubblicità indesiderata. L'Autorità ha imposto, inoltre, la cancellazione di tutti i dati personali per i quali non risulti documentata la manifestazione del consenso all'invio di comunicazioni promozionali.
La mancata osservanza del provvedimento di divieto espone a sanzioni penali e al pagamento di una somma che va da trentamila a centottantamila euro.
Come altre imprese in precedenza, anche in questo caso la società ha affermato di utilizzare, per gli invii, nominativi estratti da elenchi telefonici "categorici" pubblici (come Pagine Gialle o Pagine Utili). Questo consentirebbe, ad avviso delle imprese, di poter liberamente disporre di quei numeri per comunicazioni promozionali.
Il Garante, al contrario, ha ancora una volta ribadito che l'uso di sistemi automatizzati per inviare messaggi promozionali impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari, anche quando si tratti di dati estratti da elenchi categorici o da albi.
Dall'inizio del 2009 sono oltre 500 le segnalazioni già pervenute al Garante da cittadini e imprese che denunciano questa tecnica di spam.
Occorre considerare che la questione è al centro di un dibattito di fuoco tra legislatore e associazioni riguardo al telemarketing per cui sarebbe prevista la introduzione dell’opt-out.
La fattispecie  in esame attiene al cosiddetto hard spamming o spamming selvaggio in contrapposizione al fenomeno del soft spam meglio tollerato dal nostro ordinamento.
Quali sono dunque riguardo a questo fenomeno le regole e le tutele a disposizione rispettivamente dell’impresa e del consumatore per non incorrere in sanzioni da una parte e per non essere sottoposto ad abusi dall’altra?
Il presente contributo si occuperà dell’argomento in tre parti, la prima e' svolta in questo articolo, le altre due seguiranno.

La prima parte tratta:
- l’inquadramento del problema
- il Codice privacy vivente nei provvedimenti del Garante a carattere generale sul tema.
La seconda parte trattera':
- le pronunzie giurisprudenziali
- le strategie che potrà adottare il consumatore per ottenere tutela. 
La terza parte sarà dedicata:
-al telemarketing e all'animoso dibattito tra legislatore e associazioni sull'introduzione dell'opt-out (ovvero la manifestazione del dissenso dopo il ricevimento della comunicazione indesiderata).
 
PRIMA PARTE
Inquadramento del problema
Nel nostro Paese e nell'Unione europea la disciplina in materia di hard spamming (imperniata sulla direttiva n. 2002/58/Ce) è ispirata al principio del cosiddetto opt-in , in base al quale i messaggi inviati mediante dispositivi automatici di chiamata possono essere trasmessi solo previo consenso esplicito dei destinatari (al contrario nella disciplina statunitense vige il principio dell'opt-out , che impone al destinatario del messaggio indesiderato di attivarsi per manifestare la propria opposizione).
Occorre evidenziare altresì che l'Authority non ammette neppure l'invio di un messaggio pubblicitario che imponga all'interessato di attivarsi per manifestare il proprio dissenso al ricevimento. Spesso accade infatti di ricevere newsletter a cui non ci siamo iscritti con l’indicazione in calce dell’indirizzo elettronico cui rivolgere il diniego.
Accanto alle ipotesi di spamming selvaggio si affiancano ipotesi cosiddette di soft spam che sono meglio tollerate dal nostro ordinamento.
Si tratta delle comunicazioni commerciali rientranti in un rapporto con il cliente preesistente all’invio della pubblicità. Il comma 4 dell’art. 130 Codice privacy ammette infatti l'utilizzo, senza il consenso dell'interessato, delle coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio a fini di vendita diretta di altri prodotti o servizi analoghi al bene precedentemente acquistato. L'interessato, inoltre, deve essere informato in ogni comunicazione della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuita.
Un’altra ipotesi di soft spam può essere stigmatizzata a proposito dei titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'articolo 44 del Decreto-Legge 30 dicembre 2008 convertito nella legge 27 febbraio 2009, n. 14, n. 207 per i quali si stabilisce la possibilità di utilizzare i dati detenuti per fini promozionali fino al 31 dicembre 2009 a determinate condizioni contenute nel Provvedimento Garante Privacy 12 03 2009. Normativa poi modificata dalla recente legge, oggetto della terza parte di questa trattazione.
 
Il Codice privacy vivente
Come noto la disciplina sulla riservatezza trova il proprio compimento e la propria evoluzione grazie ad una fonte in via di prassi che si sostanzia nei provvedimenti del Garante a carattere generale.
Nella questione che ci occupa gli snodi fondamentali si presentano nella modalità di manifestazione del consenso; nel trattamento delle varie tipologie di elenchi aperti al pubblico (elenchi alfabetici e elenchi categorici); nel trattamento dei nominativi e identificativi (ad esempio indirizzo e.mail) facilmente reperibili nell’internet.
Occorre sottolineare che si tratta di vicende consumate nello scenario di mezzi di comunicazione che non ammettono una reazione simultanea da parte del destinatario. Ovvero siamo nell’ambito delle telefonate con dischi preregistrati, dei sistemi vocali automatizzati, dei fax, degli sms o mms, dei messaggi di posta elettronica. Si escludono dunque i mezzi che ammettono una risposta simultanea del destinatario come le telefonate con operatore e la posta tradizionale.

Modalità di manifestazione del consenso
In questa materia il regolamento-madre statuito dall’Authority si colloca nel Provvedimento 29 maggio 2003 “Spamming. Regole per un corretto invio delle e-mail pubblicitarie - Provvedimento generale”.
Il Garante al riguardo di comunicazioni indesiderate per posta elettronica ha specificato che "il consenso, da documentare per iscritto, deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell'inoltro dei messaggi (...). Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. opt-out al fine di non ricevere più messaggi dello stesso tenore. Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale prassi, se utilizzata correttamente, consente tra l'altro di verificare l'effettiva corrispondenza all'indirizzo di posta elettronica ai soggetti che avevano espresso il consenso, nonché di accertare il permanere di tale volontà".
Nello stesso parere, l'Autorità ha prescritto alle aziende di indicare chiaramente la fonte di provenienza del messaggio e il responsabile presso cui i destinatari possono esercitare i propri diritti.
Il Garante in questo provvedimento si è anche pronunciato sull'acquisizione di indirizzi ricevuti da terzi.
Il soggetto che acquista la banca dati deve preventivamente accertarsi che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati nell'art. 13 del Codice in materia di protezione dei dati personali, comprensivi di un riferimento presso cui l'interessato possa esercitare i diritti riconosciuti dalla legge.

Nominativi inseriti in elenchi categorici (merceologici) e albi professionali
Il dettato normativo prende vita dalle applicazioni del Garante che nei vari provvedimenti ne sviluppa i concetti o proietta fenomeni non ancora esplorati nell’ambito della mente del legislatore.
Pensiamo al Provvedimento del 14 luglio 2005 riguardo agli elenchi telefonici categorici in cui si stigmatizza la differenza di sostanza e di trattamento tra le diverse tipologie di elenchi:
- gli elenchi "categorici" hanno carattere commerciale e promozionale, contenendo varie informazioni relative allo svolgimento delle attività economiche ed equiparate dei soggetti interessati, in particolare aziende, professionisti, esercizi commerciali ed enti;
- le specifiche finalità di tali elenchi non sono interamente riconducibili a quelle degli elenchi "alfabetici" del servizio universale contenenti i dati degli abbonati ai servizi di telefonia fissa e mobile, il cui scopo, secondo quanto previsto dalla nuova disciplina in fase di attuazione, è invece quello di consentire la "mera ricerca dell'abbonato per comunicazioni interpersonali" (art. 129, comma 2, del Codice).
Agli elenchi "categorici" non si applicano le prescrizioni contenute nel provvedimento adottato dal Garante il 15 luglio 2004 sotto il profilo della relativa formazione”. Ovvero gli elenchi categorici possono essere formati dall’editore dell’elenco anche senza consenso dell’interessato.
La differenza di disciplina tra elenchi alfabetici ed elenchi categorici si coglie nell’ambito della formazione.
Nel caso degli alfabetici occorre che l’editore si procuri il preventivo consenso. Nel caso dei categorici l’editore è esonerato dall’ottenimento del consenso.
Così come si evince anche dal Provvedimento 14 luglio 2005 che stabilisce che agli elenchi "categorici" non si applicano le prescrizioni contenute nel provvedimento adottato dal Garante il 15 luglio 2004 ai sensi dell'art. 129 del Codice, e che per la loro formazione i soggetti che trattano i dati destinati a figurare nei medesimi elenchi possono utilmente applicare, in conformità alle prescrizioni di legge, la previsione di carattere generale che permette di prescindere dal consenso dei soggetti interessati in quanto il trattamento "riguarda dati relativi allo svolgimento di attività economiche" (art. 24, comma 1, lett. d), del Codice).
Sul versante trattamento dei dati da parte di terzi con sistemi che non ammettono una risposta simultanea del destinatario la disciplina dei due tipi di elenchi si riallinea sullo stesso filone: occorre sempre richiedere preventivamente il consenso salvo l’ipotesi di utilizzo per comunicazioni interpersonali nel caso degli gli alfabetici.
 
Nominativi e indirizzi e.mail reperiti nell’internet
Il Provvedimento del Garante 29 maggio 2003 viene considerato dalla stessa Authority la madre di tutte le regolamentazioni in materia. Si parla appunto di “Spamming. Regole per un corretto invio delle e-mail pubblicitarie - Provvedimento generale”.
Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa.
La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui si riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamentecon un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi.
L’Autorità si è pronunciata più volte in materia ribadendo che la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari (pensiamo alla decisione dell’11 gennaio 2001 - in Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di discussione in Internet sono resi conoscibili in rete per le sole finalità di partecipazione ad una determinata discussione e non possono essere utilizzati per fini diversi qualora manchi un consenso specifico.
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica compresi nella lista “anagrafica” degli abbonati ad un Internet provider (qualora manchi, anche in questo caso, un consenso libero e specifico),  oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicitari inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o appare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni rispetto a servizi Internet e non anche a rendere l’interessato disponibile all’invio di messaggi pubblicitari.
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi per il collegamento telefonico (incrementati anche da messaggi di dimensioni rilevanti che rallentano tali operazioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.
Il Provvedimento citato trova applicazione a tutt’oggi. Pensiamo al Provvedimento del 14 giugno 2007 in cui il Garante si occupa di un messaggio di richiesta consenso alla trasmissione di ulteriori messaggi. Si tratta, in particolare, di un messaggio proveniente da un sito Internet di carattere editoriale che, a parere della società mittente, era «di per sé chiaro, conforme alle leggi in vigore, e corretto secondo il buon uso della rete» dato che veniva trasmesso una sola volta. Neanche in questo caso la giustificazione ha convinto il Garante, a giudizio del quale (come già affermato nel provvedimento del 29 maggio 2003) l'obbligo del necessario consenso informato, specifico e preventivo dell'interessato non può essere eluso inviando una prima e-mail che, nel chiedere un consenso, abbia comunque un contenuto promozionale oppure pubblicitario.
Pensiamo ancora al Provvedimento 21 ottobre 2009 in cui il Garante si occupa dell’invio di messaggi promozionali via fax senza preventivo consenso giustificato sul fondamento dell’esonero stabilito per i dati aventi carattere economico ai sensi dell’art. 24, comma 1, lett. D) Codice privacy.
L’Authority sanziona la condotta della società mittente considerandola sottoposta a responsabilità per trattamento illecito nonostante le giustificazioni addotte.
La società cerca di scagionarsi asserendo di essere titolare del trattamento e, riguardo alle modalità e forme di raccolta dei dati personali, che il numero di fax della segnalante è stato reperito tramite la consultazione di elenchi categorici organizzati per categorie merceologiche e aree geografiche, in particolare, nel caso oggetto della suddetta segnalazione, Pagine Utili.
La società ha dichiarato altresì di non chiedere all’interessato il preventivo consenso all’invio delle proprie comunicazioni promozionali, ritenendo che, poiché i destinatari delle proprie comunicazioni promozionali sono presenti in elenchi telefonici categorici e  i dati trattati sono relativi allo svolgimento di attività economiche, si possa applicare l’esonero previsto dall’art. 24 comma 1, lettera d) del Codice.
Il Garante per tutta risposta ha precisato che l’esonero del consenso per gli elenchi merceologici vale soltanto nei confronti di coloro che realizzano tali elenchi, restando salve per i terzi le garanzie a tutela del trattamento.
VISTO il provvedimento del 15 luglio 2004 (in www.garanteprivacy.it, doc. web n. 1032381) con il quale questa Autorità ha individuato le modalità e garanzie per l’inserimento e il successivo utilizzo dei dati personali di abbonati e utenti negli elenchi telefonici alfabetici del c.d. “servizio universale”;
VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it, doc. web n. 1151640) con il quale questa Autorità ha individuato procedure semplificate per la formazione degli elenchi telefonici organizzati per categorie merceologiche/professionali (c.d. elenchi “categorici”), prescrivendo anche alcune misure che devono essere adottate in riferimento alle modalità di acquisizione e inserimento dei dati personali e all’informativa agli interessati;
RILEVATO che il quadro semplificato per gli operatori emergente da tale provvedimento fa salve le peculiari garanzie operanti, anche nell’ambito degli elenchi categorici, per le comunicazioni di carattere commerciale effettuate ai sensi dell’art. 130 del Codice;
RILEVATO che l’art. 130, comma 2 del Codice prevede per l’invio di messaggi mediante telefax il presupposto del preventivo consenso informato e specifico dell’interessato, e che dalla documentazione allo stato acquisita non risulta che, nel caso di specie, tale consenso sia stato richiesto all’interessato, prima dell’inizio del trattamento dei dati;
CONSIDERATO che la fondamentale garanzia di cui all’art.130 del Codice non può essere elusa inviando un primo messaggio che, nel richiedere il consenso, abbia già un contenuto promozionale (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web n. 29840);
si è ritenuto che l’invio di comunicazioni commerciali mediante telefax effettuato senza il prescritto consenso configura un trattamento illecito di dati (art. 130 Codice)”.
 
RICAPITOLANDO
1.       Vietato inviare fax di materiale pubblicitario o per azioni di vendita diretta ovvero per il compimento di ricerche di mercato nel caso non si sia ricevuto il consenso preventivo dell'interessato.
2.      Chi non rispetta questa regola, oltre a potersi trovare di fronte a un provvedimento di blocco o divieto del Garante, può essere convenuto davanti al giudice civile per il risarcimento dei danni.
3.      Alla base di tutto, l'articolo 130 del Dlgs 196/2003 sulle comunicazioni indesiderate: l'uso del fax - come pure della posta elettronica, dei messaggi sms, mms e dei sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario - per attività di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale è consentito solamente dietro consenso dell'interessato.
 
COSA DEVE  FARE L’AZIENDA E COSA DEVE  PRETENDERE IL CONSUMATORE
Informativa
È sempre necessario informare il destinatario sulle finalità e sulle modalità del trattamento nonché sui soggetti che possono ricevere i suoi dati. Principio cui sono sottoposti i seguenti mezzi di comunicazione:
- telefonate effettuate da un operatore
- posta tradizionale
- telefonate con dischi preregistrati o sistemi vocali automatizzati
- fax
- sms o mms
- messaggi di posta elettronica 
 
Consenso del destinatario del messaggio
Non è richiesto quando riguarda dati relativi allo svolgimento di attività economiche o provenienti da registri pubblici
Per i seguenti mezzi di comunicazione:
- telefonate effettuate da un operatore
- posta tradizionale
Sempre richiesto il consenso preventivo dell'interessato
Per i seguenti mezzi di comunicazione:
- telefonate con dischi preregistrati o sistemi vocali automatizzati
- fax
- sms o mms
- messaggi di posta elettronica.
 
Indicazione del responsabile
Sempre necessario indicare il soggetto al quale il destinatario del messaggio può chiedere la cessazione dell'invio di messaggi ovvero la rettifica o la cancellazione dei suoi dati.
Principio cui sono sottoposti i seguenti mezzi di comunicazione:
- telefonate effettuate da un operatore
- posta tradizionale
- telefonate con dischi preregistrati o sistemi vocali automatizzati
- fax
- sms o mms
- messaggi di posta elettronica

CONTINUA: Parte 2, Parte 3

* Deborah Bianchi, avvocato specializzato in diritto applicato alle nuove tecnologie, esercita nel Foro di Pistoia e Firenze in materia civile e amministrativa.
 
 
DIRITTO DIGITALE IN EVIDENZA
 
ADUC - Associazione Utenti e Consumatori APS