Norme anti-spam, lo stato dell’arte
Lo spam è tra noi
Malgrado negli ultimi anni il Garante per la protezione dei dati personali abbia dedicato notevoli sforzi al contrasto allo spam, emanando specifici provvedimenti e diffondendo il 4 luglio 2013 delle specifiche Linee Guida sull’argomento (Linee guida in materia di attività promozionale e contrasto allo spam), non si può non notare come numerosi siano ancora i casi di violazione delle regole imposte dal Codice Privacy. Tale fenomeno, oltre ad essere tuttora oggetto di provvedimenti del Garante, è riscontrabile autonomamente osservando il numero delle email promozionali che ogni giorno riceviamo nella casella di posta elettronica che utilizziamo per le attività personali, ed osservando come questo sia sensibilmente aumentato malgrado i filtri o rimedi anti-spam adottati dalla quasi totalità dei provider di posta elettronica.
Il Codice Privacy, lo ricordiamo, prescrive la necessità di ottenere uno specifico consenso preventivo dell’interessato per l’invio di email promozionali (ad eccezione dei casi di cd. “soft spam” relativamente ai beni e servizi analoghi a quelli già acquistati dall’utente). Tale principio non è stato scalfito dall’intervento del Garante in materia di marketing diretto, il quale, interpretando le disposizioni di cui all’art. 130 comma 1 e 2 Codice Privacy, è andato a definire l’ambito applicativo cd. “consenso unico” (Provvedimento in materia di Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto del 15 maggio 2013).
Allo stesso modo, il Codice Privacy richiede uno specifico e distinto consenso per la comunicazione dei dati a terzi per finalità promozionali (costituendo, quest’ultimo, un distinto trattamento rispetto alla mera ricezione di materiale promozionale, subordinato anch’esso alla regola stabilita dall’art. 23 Codice Privacy).
In termini pratici
Tradotto in termini pratici significa che dietro ad ogni email promozionale ricevuta nella nostra casella di posta elettronica, dovremmo aver fornito un consenso che autorizza il mittente – o più precisamente il Titolare del trattamento – a tale invio, vuoi perché lo abbiamo autorizzato direttamente, vuoi perché lo abbiamo autorizzato indirettamente (avendo acconsentito alla comunicazione a terzi dei nostri dati personali).
In realtà, mai come adesso la società si trova ad affrontare problemi generati dall’incontrollabilità della circolazione dei dati personali, ed ovviamente la questione non è limitata agli indirizzi di posta elettronica (pensiamo infatti alla quantità di informazioni che detengono i fornitori di piattaforme social, ed al valore economico che esse hanno assunto negli ultimi anni).
Se volessimo, per curiosità, metterci nei panni dell’utilizzatore-medio del servizio di posta elettronica e volessimo effettuare un controllo sulla liceità o meno del materiale promozionale che riceviamo via mail, realizzeremmo ben presto che tale operazione, oltre ad essere ardua, porta a risultati scoraggianti. Questo perché, intanto, non sono distinguibili le mail inviate da chi ha ottenuto il nostro consenso diretto, rispetto a quelle inviate sulla base di un consenso “comunicato” da chi ha raccolto il consenso stesso.
Nel primo caso (consenso acquisito direttamente dal mittente), possiamo tentare di risalire a quali servizi abbiamo sottoscritto (anche se non più tardi di dieci anni) o a quali soggetti abbiamo fornito un consenso “marketing”; nel secondo caso (consenso acquisito indirettamente) tale verifica risulta nei fatti più problematica, non essendo obbligatorio che il Titolare del trattamento indichi nell’Informativa resa ex art. 13 del Codice Privacy il nominativo del soggetto terzo a cui comunica i dati personali acquisiti, ed essendo, cioè, sufficiente indicare la categoria economi a o merceologica di appartenenza del soggetto terzo.
Il Garante, infatti, nelle suindicate Linee Guida afferma: “Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa, ai sensi dell’art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: “finanza”, editoria”, “abbigliamento”: cfr. lettera d della detta norma)”.
L’intento del Garante è, chiaramente, quello di semplificare gli oneri informativi delle imprese, mantenendo ferma la necessaria salvaguardia dell’Interessato. Tuttavia, viene facile immaginare che, per comodità e praticità, le imprese scelgano per lo più di indicare solo le categorie dei terzi, invece che individuarli singolarmente (ed è questo quello che emerge nella maggior parte delle Informative che vengono sottoposte agli utenti). A livello teorico, dunque, anche laddove si riscontri che un consenso specifico alla comunicazione a terzi ci è stato richiesto ed è stato da noi fornito, non è detto che vi sia modo di individuare, in base all’Informativa rilasciata dal Titolare, a quali soggetti terzi vengono comunicati i nostri dati, e dunque, sempre a livello teorico, non è possibile, partendo dalla mail promozionale ricevuta, risalire a quando e come abbiamo autorizzato l’invio “indiretto”.
Proprio per far fronte a questa evenienza, evidentemente poco tutelante per l’interessato, il Garante, nelle Linee Guida ha specificato che in tale ipotesi, ossia quando i terzi non siano individuati singolarmente nell’Informativa del Titolare, detti terzi possono inviare agli interessati comunicazioni promozionali soltanto dopo aver rilasciato loro una Informativa indicante, oltre agli elementi stabiliti dall’art. 13 Codice Privacy, anche l’origine dei dati personali a loro comunicati, in modo da consentire all’interessato di opporsi al trattamento sia rivolgendosi al terzo che al soggetto che li ha raccolti (si veda il paragrafo 2.6.3 delle Linee Guida).
Ritorniamo nei panni dell’utilizzatore-medio dei servizi di posta elettronica: se volesse verificare il rispetto delle regola stabilite dalla legge e dal Garante, a fronte della ricezione di email promozionali provenienti dai soggetti a cui sa di non aver fornito un consenso diretto alla ricezione di materiale promozionale, dovrebbe “ricordarsi” se nell’Informativa fornitagli da uno delle decine di Titolari a cui ha fornito il consenso alla comunicazione a terzi era presente l’indicazione specifica dei terzi o solo un riferimento alla categoria merceologica degli stessi. Operazione di per sé ardua. Può, però, tentare l’operazione “al contrario”, verificando quali, di questi terzi, rilasciano (nella stessa email o attraverso link verso l’esterno) una loro Informativa contenente le informazioni indicate dal Garante. L’analisi porterebbe a risultati negativi nella quasi totalità dei casi. Malgrado le norme dettino specifiche prescrizioni al riguardo, infatti, le violazioni commesse nell’ambito di attività promozionali effettuate via posta elettronica risultano ancora molto frequenti.
Il diritto di opposizione
L’utente-medio particolarmente caparbio che abbia provveduto a fare questa verifica, e che voglia impedire che la casella di posta venga sistematicamente invasa da messaggi indesiderati, tuttavia, non è detto che abbia intenzione di dedicare ulteriori risorse alla questione e quindi, invece che inviare segnalazioni al Garante o contattare i mittenti per chiedere l’origine dei propri dati personali, è probabile che eserciti il suo diritto di opposizione nei confronti di tutti i singoli “disturbatori” chiedendo la cancellazione dagli elenchi dei destinatari, sperando che almeno l’esercizio del diritto di opposizione gli venga consentito agilmente, come indica il Garante nelle Linee Guida. A quel punto realizzerà che in alcuni casi la cancellazione è possibile, ed è ottenibile in modo semplice partendo dallo stesso messaggio promozionale, in altri casi sarà necessario contattare i mittenti tramite mail, raccomandata, fax, o altro.
L’utente-medio si trova, quindi, senza alternative: se intende perseguire il suo nobile obbiettivo deve armarsi di santa pazienza e chissà per quanti giorni dovrà ripetere l’operazione prima di vedere qualche esito. In suo aiuto può intervenire il provider di posta elettronica, se adotta sistemi rapidi ed agevoli per consentire il blocco di messaggi indesiderati (come già, in alcuni casi, sta accadendo). A quel punto l’utente-medio, anche se non sarà immune dal ripetersi del fenomeno, almeno avrà uno strumento utile per difendersi. Come dire, “dove non arriva la legge arriva la tecnologia”.
