Internet, nuove tecnologie - Generalità, varie -  Farina Massimo - 06/05/2009

NUOVO STOP DEL GARANTE PRIVACY SU PUBBLICITÁ INDESIDERATA– Massimo FARINA

Non è la prima volta che l’Authority interviene sull’uso indiscriminato di fax e posta elettronica per l’invio di informazioni commerciali non sollecitate dal destinatario.
Già nel 2006 [1] in occasione di un ricorso presentato da un soggetto che contestava la ricezione di messaggi di posta elettronica non sollecitati, inviatigli da una società commerciale, il Garante per la protezione dei dati personali ebbe modo di precisare che l’invio di e-mail pubblicitarie è governato dalla regola dell’opt in; ora, a circa tre anni di distanza, a seguito delle segnalazioni di alcuni utenti che continuavano a ricevere e-mail e fax indesiderati si ribadisce [2] la necessità del consenso del destinatario per l’uso dei dati a scopo informativo-commerciale. 

L’invio di comunicazioni pubblicitarie tramite i nuovi media (si pensi, soprattutto alla posta elettronica, agli sms e/o mms) permette al mittente di inviare a costi bassissimi un numero assai elevato di messaggi ad altrettanti destinatari. Ciò può comportare, oltre alla indiscussa illiceità del trattamento dei dati personali, danni significativi ai gestori delle reti o dei nodi di rete (cosiddetti Internet Service Provider) e, contemporaneamente, agli utenti destinatari. 

Gli ISP, a causa del transito massiccio di posta elettronica sulle proprie reti devono continuamente aumentare la larghezza di banda, al fine di garantire un servizio efficiente per propri abbonati. I medesimi gestori devono, inoltre, com’è stato giustamente osservato dalla giurisprudenza di merito nel 2001, “evitare che il proprio utente di posta elettronica sia esposto ad un’attività di invio c.d. a pioggia (spamming) di messaggi e/o di materiali pubblicitari non graditi da parte di altri soggetti operanti nella rete”. [3] 

Per quanto concerne i destinatari dei messaggi, anch’essi patiscono notevoli disagi dovuti ai tempi di collegamento, necessariamente più lunghi e, di conseguenza, più onerosi in termini di tempo e di costi; al rischio di perdita di messaggi interessanti, cestinati per errore nella confusione generata dallo spamming; agli investimenti per l’acquisto di risorse (hardware e software) in grado di filtrare la posta “buona” ed escludere quella “cattiva”. 

Attualmente l’invio di informazioni pubblicitarie, attraverso la posta elettronica, può avvenire soltanto previo consenso del destinatario. Tale regola è stata prevista, nell’ordinamento giuridico italiano, dapprima nel 2003 con il D.lgs. n. 70 [4] e successivamente confermata dal d.lgs. 196/03 (cosiddetto Codice della Privacy). 

Il suddetto precetto vale sempre e comunque “anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari” [5]; neppure “l’eventuale reperibilità di un indirizzo di posta elettronica sulla rete Internet non lo rende per ciò stesso liberamente disponibile anche per l’invio di comunicazioni elettroniche non sollecitate” [6]. 

L’autorità Garante si è nuovamente pronunciata sul tema con cinque recenti provvedimenti, (menzionati nella Newsletter n. 322 del 5 maggio 2009) [7] a seguito di verifiche sollecitate mediante segnalazioni di soggetti che a mezzo e-mail e via fax ricevevano comunicazioni commerciali senza aver mai fornito il consenso all’utilizzo del proprio indirizzo per tale finalità. Nell’occasione, alle cinque società interessate è stato vietato - ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) - l’ulteriore trattamento illecito dei dati degli utenti interessati, “i quali non potranno dunque più essere disturbati”. Nel contempo, in applicazione degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice Privacy, è stato prescritto ai titolari del trattamento illecito “di adottare tutte le misure necessarie e opportune atte a garantire” il trattamento secundum legem

La scelta del legislatore italiano, in armonia con l’ordinamento comunitario (Direttiva 2002/58/CE), è stata quella della necessità di preventivo consenso da parte del destinatario (opt in). L’art. 9 del D.lgs. 70/2003 e l’art. 130 del D.lgs. 196/03 esprimono chiaramente la suddetta regola, rafforzandola attraverso la previsione dell’onere della prova a carico del prestatore di servizi. In altri termini, spetta a colui che invia il materiale pubblicitario provare il carattere sollecitato delle comunicazioni commerciali (art. 9, 2 comma D.lgs. 70/2003). 

L’art. 130 del Codice della Privacy, rispetto alla previgente normativa rappresenta una novità assoluta, in quanto l’art. 13 della L. n. 675/96, alla lettera e), del comma 1 sanciva il diritto dell’interessato ad opporsi al trattamento dei suoi dati personali effettuato “ai fini di informazioni commerciali o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva” con l’onere in capo al titolare del trattamento di informare l’interessato, non oltre il momento in cui i dati vengono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto. 
L’unico diritto, pertanto, riconosciuto all’interessato era quello di opposizione al trattamento a fronte dell’attuale e nuovo diritto del consenso preventivamente manifestato, contenuto nell’art. 130 del d.lgs. n. 196/03. 

La violazione della regola opt in comporta “il pagamento di una sanzione amministrativa pecuniaria da 103 euro a 10.000 euro” con possibilità di raddoppiarla nei casi di particolare gravità o di recidiva (art. 21 D.lgs. 70/2003). Restano ferme le misure eventualmente prescritte al contravventore da parte dell’autorità Garante per rendere il trattamento conforme alle disposizioni vigenti. 
La violazione dell’art. 130 espone il titolare del trattamento anche alla sanzione penale prevista dall’art. 167 del Codice Pricacy, ossia pena della reclusione da sei a diciotto mesi nel caso in cui l’autore dell’illecito abbia avuto la finalità di trarre un profitto o di recare un danno ad altri, e l’attività ha causato concretamente un nocumento. A ciò si aggiunga che la comunicazione non sollecitata presuppone normalmente l’omissione dell’obbligo di informativa verso l’interessato ed espone il contravventore anche alla sanzione amministrativa all’uopo prevista. 

Il comma 2 dell’art. 130 del Codice della privacy estende espressamente le regole suesposte “anche alle comunicazioni elettroniche effettuate mediante messaggi del tipo Mms (Multimedia Messaging Service), Sms (Short Message Service) o di altro tipo".
Di particolare interesse sono anche i successivi commi dell’art. 130 in esame. 

Al comma 3, in via residuale, si conferma la regola del consenso preventivo anche per ulteriori comunicazioni effettuate, “per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, e realizzate con mezzi diversi da quelli indicati ai commi 1 e 2. Più precisamente, per questo tipo di comunicazioni si rinvia alla disciplina generale del consenso contenuta negli articoli 23 e 24 del Codice Privacy (comprese le eccezioni). 

Al comma quarto si prende in considerazione il caso particolare dell’interessato che ha già precedentemente e volontariamente fornito il proprio indirizzo al titolare del trattamento in occasione della vendita di un prodotto (o erogazione di un servizio). In questi casi è ammessa la possibilità, per il titolare di utilizzare il suddetto indirizzo per operazioni analoghe alla precedente se “l’interessato, adeguatamente informato, non rifiuti tale uso , inizialmente o in occasione di successive comunicazioni”. Resta fermo il diritto dell’interessato di opporsi , in qualsiasi momento, ad ulteriori trattamenti. 

Il comma quinto vieta ai mittenti di messaggi commerciali-pubblicitari di servirsi dell’anonimato e li obbliga a fornire “un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7”. 

Infine, il comma sesto, attribuisce al Garante il potere, ai sensi del successivo art. 143, comma 1, lett. b), di ordinare al titolare l’adozione delle misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti; nonché di prescrivere, ai fornitori di servizi di comunicazione elettronica (ISP), l’adozione di “procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni” non sollecitate. 



[1] Garante per la protezione dei dati personali, Provvedimento del 20 aprile 2006, Bollettino del n. 71/aprile 2006, doc. web n. 1289884, reperibile all’indirizzo http://www.garanteprivacy.it/garante/doc.jsp?ID=1289884

[2] Garante per la protezione dei dati personali, Newsletter n. 322 del 5 maggio 2009, reperibile all’indirizzo http://www.garanteprivacy.it/garante/doc.jsp?ID=1611760

[3] Tribunale di Prato, 15 ottobre 2001, in Foro toscano 2002, 100. 

[4] D.Lgs. 9 aprile 2003, n. 70, Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico, pubblicato nella Gazzetta Ufficiale del 14 aprile 2003, n. 87, S.O.. 

[5] Si veda la precedente nota 2. 

[6] Si veda la predente nota 1. 

[7] Documenti web nn. 1597151, 1597146, 1597163, 1601506 e 1601475.



exsigma