Blog

Linee guida in materia di attività promozionale e contrasto allo Spam. Ricognizione della delibera n.330/2013 del Garante Privacy

di Giulio Pascali Abstract Il Garante Privacy Italiano, con un provvedimento che riassume molte delle casistiche esaminate negli ultimi dieci anni, ha inteso fornire le proprie Linee-Guida per la corretta attività promozionale sul web e per il contrasto dello SPAM. Il provvedimento che ne risulta, tuttavia, non sembra censire tutti i fenomeni di SPAM ad oggi esistenti, e non fornisce, di conseguenza, tutti gli elementi necessari per contrastare con efficacia tali pratiche. The Italian Data Protection Authority, with a measure that summarizes many of the case studies examined in the last ten years, it has sought to provide its Guidelines for the proper promotional activities on the web and for the contrast of SPAM. The measure that results, however, does not seem census of all the phenomena of SPAM existing to date, and does not provide, therefore, all the elements necessary to combat effectively such practices. Sommario

  1. Introduzione al documento
  2. I principi fondamentali e lo stato dell’arte dell’azione del Garante
  3. Le situazioni esaminate dal Garante
  4. Nuove forme di Spam
  5. Le sanzioni
  6. Prime impressioni sulle Linee-Guida

1. Introduzione al documento

Il Garante Privacy, a seguito delle integrazioni intervenute nella normativa di settore e dei numerosi provvedimenti specifici adottati nell’ultimo decennio, ha messo a punto un provvedimento [1] al fine di riunire le principali problematiche inerenti le comunicazioni commerciali non sollecitate a mezzo di sistemi di comunicazione elettronica (c.d. SPAM [2]), fornendo così linee guida sul tema.

2. I principi fondamentali e lo stato dell’arte dell’azione del Garante

Nella prima parte del documento analizzato [3], il Garante, premessa una rapida ricognizione delle modifiche normative intercorse dal 2003 [4] ad oggi in materia di e-mail marketing, censisce i nuovi ambiti oggettivo e soggettivo dello SPAM: – sostanzialmente poco è cambiato, per ciò che attiene l’ambito oggettivo: con espresso riferimento alle prescrizioni di cui al vigente Codice Privacy, il Garante qualifica lo SPAM come l’insieme delle “comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore (c.d. telefonate pre-registrate) oppure con modalità assimilate alle prime (quali e-mail, fax, sms, mms)”[5]. – l’ambito soggettivo, invece, risulta aver subìto alcuni rilevanti cambiamenti, nel tempo:

  1. A seguito delle modifiche introdotte dal “Decreto Salva Italia”[6], le persone giuridiche o assimilate sono state rimosse dalle definizioni di “interessato” e di “dato personale”, e pertanto non possono, allo stato, avvalersi dei mezzi di tutela predisposti dal Codice Privacy per le persone fisiche.
  2. A compensazione della perdita di cui al precedente punto, l’implementazione della Direttiva c.d. e-privacy [7],  ha sostituito, nel Codice delle Comunicazioni Elettroniche [8], la definizione di “abbonato” con quella di “contraente”, riconducendo in tale ultima definizione anche le persone giuridiche; tale modifica ha consentito anche alle persone giuridiche la possibilità di esperire gli ordinari mezzi di tutela giuridica della privacy previsti dall’ordinamento, sia in sede civile che in sede penale.
  3. Il Garante precisa inoltre, in attuazione dei pareri resi dal c.d. Gruppo Art. 29, che riunisce i Garanti di vari Stati in ambito Europeo [9], che, qualora con riferimento alle attività promozionali compiute per mezzo della posta elettronica, dovesse risultare difficile distinguere se un destinatario possa essere considerato persona fisica o giuridica, dovrà aversi riguardo per il contenuto, la finalità ed il risultato della comunicazione ricevuta, per correttamente distinguere la natura del destinatario.

3. Le situazioni esaminate dal Garante

Il documento prosegue con un censimento critico delle situazioni-tipo esaminate dal Garante nell’ultimo decennio, unitamente alle conclusioni raggiunte nelle varie istruttorie. In particolare, il Garante individua i seguenti concetti fondamentali: a) Correttezza, finalità, proporzionalità e necessità del trattamento dati, con special riguardo alla c.d. neutralità tecnologica: su tale punto, l’Autorità, nel ribadire i principi in questione, evidenzia la necessità che i provider di posta elettronica adottino meccanismi di mutua autenticazione dei rispettivi server, per assicurare un alto livello di protezione antispam [10], implementando anche filtri specifici che permettano l’individuazione dello SPAM, senza violare la riservatezza dei destinatari delle comunicazioni via e-mail. b) Obbligo di informativa chiara e completa, ex art. 13 del Codice Privacy, con speciale riguardo alle eventuali modalità automatizzate di trattamento, ex art. 130 dello stesso Codice: il Garante precisa, sul punto, la necessità di fornire l’informativa in questione, soprattutto per quel che riguarda le modalità eventualmente utilizzate per il trattamento dei dati, siano esse tradizionali o automatizzate e/o elettroniche. Per ciò che attiene tali ultimi trattamenti automatizzati, afferma il Garante, l’informativa, comprensiva delle categorie di dati trattati, deve essere data al soggetto ricevente all’atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione dei dati in questione. c) Obbligo di consenso preventivo al trattamento automatizzato (metodo c.d. opt-in): il trattamento automatizzato e/o informatizzato dei dati personali ai fini dell’invio di comunicazioni commerciali, spiega il Garante, è consentito solo con il consenso preventivo del contraente o utente. Non è lecito richiedere il consenso con la medesima comunicazione commerciale, né avvisare della possibilità di opporsi al trattamento direttamente con la stessa. In difetto dello specifico consenso preventivo, per il Garante, non è possibile inviare comunicazioni promozionali a soggetti i cui dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque (ivi incluso l’indice nazionale degli indirizzi di Posta Elettronica Certificata delle imprese e dei professionisti). E’ invece ammesso contattare telefonicamente mediante operatore, per richiedere il consenso alla ricezione di comunicazioni promozionali, i numeri presenti in elenchi telefonici che non siano iscritti al Registro pubblico delle opposizioni, e quelli presenti in elenchi pubblici vincolati per legge alla raccolta e registrazione per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi. In coerenza con le previsioni descritte, il consenso preventivo al trattamento dei dati deve essere espresso anche ai dati raccolti dal professionista nell’ambito di contratti a distanza. d) Requisiti specifici per la validità del consenso prestato: il Garante, sintetizzando le principali situazioni esaminate negli anni, ed espressamente riferendosi all’art. 23, comma 3 del Codice Privacy, specifica che il consenso al trattamento deve essere “libero, informato, specifico, con riferimento a trattamenti chiaramente individuati [11] nonché documentato per iscritto”. Tutti i requisiti così riepilogati sono cumulativi ed indefettibili, con le precisazioni che seguono. In particolare:

    1. il consenso per l’attività promozionale non deve essere preimpostato (nemmeno posizionando un automatico “flag” nella casella specifica su moduli elettronici);
    2. il consenso deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, inclusa, in particolare, la comunicazione a terzi per l’invio di loro comunicazioni promozionali. Sul punto, il Garante specifica che le finalità devono essere espressamente palesate nell’informativa (ad es.: “trattamento dati finalizzato a marketing, profilazione, comunicazione a terzi di dati”), ma, qualora l’insieme delle attività promozionali elencate sia funzionale a perseguire un’unica finalità “latu sensu” di marketing, il consenso può essere prestato in un’unica formula, senza richiedere separate accettazioni, che potrebbero disorientare l’utente e complicare l’operatività del richiedente. Allo stesso modo, qualora la finalità di marketing sia uniforme, ma sia espletata sia mediante mezzi tradizionali che mediante mezzi automatizzati/elettronici, il Garante ammette la prestazione di un unico consenso per entrambe le modalità, a condizione che siano chiarite con esattezza le modalità utilizzate, le misure di protezione per ciascuna modalità e che sia consentito all’interessato il diritto di opporsi al trattamento in tutto o in parte.

e) Consenso specifico alla comunicazione e/o cessione dei dati a soggetti terzi per fini di marketing: in merito a tale ipotesi, il Garante individua due sotto-categorie;

  1. La comunicazione a terzi per finalità di marketing “in generale”, per la quale è richiesta una previa informativa idonea, che individui, oltre agli elementi di cui all’art. 13 del Codice Privacy, anche ciascuno dei terzi cessionari o, in alternativa, le categorie economiche o merceologiche di appartenenza degli stessi. Il consenso all’informativa in questione dovrà essere separato dal consenso richiesto al titolare del trattamento per svolgere esso stesso attività promozionale. Qualora i terzi soggetti siano individuati specificamente e siano rispettati i requisiti di cui all’art. 13 del Codice Privacy, non sarà necessaria ulteriore informativa all’utente contattato; in difetto di tali elementi, i terzi dovranno fornire all’utente contattato ogni opportuna informativa comprensiva dell’origine dei dati trattati.
  2. La comunicazione dei dati a terzi che siano società controllate, controllanti o comunque a vario titolo collegate al soggetto che ha raccolto i dati: relativamente a tale configurazione, puntualizza il Garante, le società terze così descritte devono essere considerate come società distinte, e necessitano dunque di separata informativa, oppure, in alternativa, della precisa individuazione all’interno dell’informativa originaria.

f) Prestazione del consenso in ambiente digitale: da sempre sensibile allo sviluppo dell’e-commerce e dei mezzi di comunicazione digitale, il Garante prevede espressa deroga all’acquisizione del consenso per iscritto, a condizione che esso risulti ugualmente espresso con modalità documentabili ed idonee a darne prova. Il Garante consente, sul punto, l’acquisizione del consenso a mezzo di casella selezionata mediante apposito “flag”, alle condizioni già specificate nei precedenti punti. g) Previsione di una eccezione per il c.d. “soft SPAM”, vale a dire per l’invio di posta elettronica promozionale ad alcune specifiche condizioni: il Garante, prendendo atto della prassi consolidata in materia, consente che il titolare del trattamento preveda la possibilità di utilizzare i dati acquisiti per la vendita di un prodotto o servizio per la sola promozione di propri prodotti o servizi, analoghi a quelli acquistati dall’utente, salva sempre la facoltà dell’utente in questione di opporsi a tale uso. h) Titolarità delle attività di trattamento effettuate mediante agenti o altri terzi: il Garante, in conseguenza di una prassi deteriore esaminata negli ultimi anni, e consistente nella de-localizzazione del trattamento dei dati presso agenti o soggetti terzi ai fini di elusione delle responsabilità di cui al Codice Privacy, chiarisce con il provvedimento in commento chi tra il soggetto promotore e il terzo incaricato debba considerarsi effettivo titolare del trattamento dei dati. Il criterio adottato è quello del ruolo preminente nel trattamento dei dati in questione: qualora il soggetto definitosi promotore, dunque, assuma decisioni relative alle finalità e modalità di trattamento, fornisca istruzioni e direttive vincolanti e svolga verifiche e controlli sull’attività dell’agente incaricato, dovrà essere considerato effettivo titolare, ai sensi dell’art. 28 del Codice, a prescindere dalla difforme qualificazione contrattuale eventualmente assunta. Il soggetto promotore dovrà altresì nominare responsabile il soggetto agente od altro terzo di cui si avvale per l’attività di promozione, salvo che tale soggetto non sia un mero incaricato a compiere specifiche azioni sotto la stretta direzione del soggetto promotore. i) Invio di comunicazioni commerciali via fax mediante piattaforme di società estere: constatato il persistere di fenomeni di invio di comunicazioni commerciali non richieste, in orari non regolamentati, tramite le apparecchiature di società ubicate all’estero e con metodologie che prevedono l’invio via internet o via server fax esteri, il Garante precisa anzitutto che anche al trattamento dei dati effettuato con tali mezzi trova applicazione il Codice Privacy Italiano [12]. Di conseguenza, ai sensi della normativa vigente, sarà considerata titolare responsabile l’impresa italiana che si avvalga di tali piattaforme di terzi oppure il terzo proprietario delle piattaforme in questione, qualora promozioni propri beni e/o servizi. Il Garante ricorda, dunque, l’obbligo per il titolare di prevedere, per ogni comunicazione fax in uscita, una apposita casella informativa del trattamento effettuato, fermo restando l’obbligo di acquisire previamente il consenso specifico agli invii promozionali, e quello di consentire al tempo stesso la possibilità per i destinatari di esercitare i diritti di cui all’art. 7 del Codice Privacy, con metodologie rapide, agevoli ed efficaci. j) Utilizzo di mailing-list per invio di email e/o sms: fermi restando i già ricordati obblighi di previa informativa e di predisposizione di meccanismi per l’esercizio dei diritti di cui all’art. 7 del Codice Privacy, anche qui applicabili, il Garante ha altresì cura di specificare la necessità, per chi provvede a tali invii, di utilizzare metodi che consentano la reciproca riservatezza degli indirizzi e/o dei numeri telefonici dei destinatari presenti nella lista (apprezzabile in tale sede, l’esplicito riferimento, compiuto dal Garante, all’utilizzo del CCN [13] per l’invio di e-mail a molteplici destinatari).

4. Nuove forme di SPAM 

La parte finale delle linee guida del Garante si concentra sulle nuove forme di comunicazione commerciale, che si sono sviluppate nel corso degli ultimi anni, di pari passo con i nuovi strumenti digitali. Il Garante individua due fenomeni fondamentali, e fornisce alcune indicazioni di base per la valutazione di entrambi: a) Il c.d. “social SPAM”: con tale espressione, il Garante individua l’insieme delle operazioni mediante le quali lo spammer veicola messaggi e link promozionali attraverso le reti sociali online [14]. L’Autorità ricorda anzitutto che tutti i messaggi promozionali inviati agli utenti dei social network, sia in privato che in pubblico, sono comunicazioni commerciali a tutti gli effetti e sono pertanto soggetti alla disciplina del Codice Privacy [15]. In egual modo, la vigente normativa privacy trova applicazione anche nei confronti dei messaggi promozionali inviati tramite “strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messenger, etc. [16]”. Scopo principale dichiarato del Garante è quello di impedire che privacy policy eccessivamente semplificate diano origine ad indiscriminate profilazioni degli utenti per fini di “spam mirato. Ciò premesso, il Garante individua e disciplina le seguenti situazioni-tipo specifiche:

  1. L’invio di messaggi a scopo meramente personale: in questo caso, la pubblicità è elemento solo eventuale della comunicazione, in quanto trattasi di messaggi a carattere non seriale, inviati da un utente all’altro al solo scopo di consigliare un prodotto di terzi; nessuna specifica autorizzazione al trattamento è pertanto richiesta dal Garante.
  2. L’invio di messaggi promozionali ad un utente di un social network, tramite il social network stesso o l’email associata al profilo su di esso presente, da parte di un’impresa che ha trattato i dati personali pubblicati sul social network in questione: in questo caso, precisa il Garante, il trattamento deve tendenzialmente considerarsi illecito, salvo che il mittente della comunicazione promozionale non dimostri di aver correttamente acquisito dal ricevente il consenso preventivo, specifico, libero e documentato di cui all’art. 130, commi 1 e 2 del Codice Privacy.
  3. L’iscrizione dell’utente del social network alla “fan page” di una determinata impresa ed il successivo invio di comunicazioni promozionali dei propri servizi, da parte dell’impresa in questione al proprio “fan”, sia tramite il social network che tramite l’email associata al profilo presente su di esso: in questo caso, la comunicazione promozionale può considerarsi lecita, afferma il Garante, se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile la manifestazione, da parte del soggetto ricevente, del consenso alla ricezione di messaggi promozionali da parte di una determinata impresa. Ciò, in ogni caso, facendo sempre salva la possibilità per il social network di predisporre meccanismi che consentano ai propri utenti di impedire la ricezione di SPAM da uno specifico contatto e/o segnalarlo come spammer.
  4. Per ciò che riguarda i contatti e/o “amici” dell’utente sul social network [17], dei quali siano visualizzabili numeri di telefono e/o indirizzi di posta elettronica, l’impresa che intenda inviare legittimamente comunicazioni promozionali a tali recapiti dovrà previamente acquisire da ciascun contatto e/o “amico” lo specifico consenso per effettuare l’attività promozionale.

b) Il c.d. “marketing virale”: con tale termine, il Garante individua quella peculiare evoluzione tecnologica del tradizionale “passaparola”, che vede le attività promozionali di un soggetto concentrarsi su pochi destinatari, così da poter sfruttare la capacità comunicativa di tali soggetti per trasmettere il messaggio promozionale ad un numero elevato di destinatari finali. Ferma restando la già trattata eccezione del “consiglio” amicale in sede di comunicazione personale, il quale non è effettivamente soggetto alla normativa del Codice nemmeno quando sia fornito mediante strumenti automatizzati [18], quando l’attività promozionale per il tramite di singoli terzi utenti viene svolta con modalità automatizzate e per finalità di marketing, essa può rientrare nella nozione di SPAM, se non risultano rispettati i principi e le norme del Codice Privacy, in particolare per ciò che attiene agli articoli 3, 11, 13, 23 e 130 del Codice stesso.

5. Le sanzioni

In conclusione delle linee guida, il Garante riassume brevemente le sanzioni applicabili in caso di accertata violazione delle disposizioni del Codice Privacy: – da un lato, la possibilità di incorrere in sanzioni amministrative come quelle di cui agli artt. 161 e 162, comma 2-bis del Codice Privacy stesso; – dall’altro l’obbligo del Garante di denunciare violazioni della privacy che possano costituire ipotesi di reato, per l’eventuale applicazione della sanzione penale di cui all’art. 167 del Codice Privacy.

6. Prime impressioni sulle linee guida

All’esito dell’analisi compiuta, è opportuno puntualizzare come il provvedimento reso dal Garante sia caratterizzato da una versatilità abbastanza limitata: da un lato, infatti, va  riconosciuto il pregevole sforzo compiuto dall’Autorità per sintetizzare principi ed obblighi, raccolti nell’ultimo decennio, in materia di privacy e comunicazioni commerciali e la dichiarata rinnovata attenzione nei confronti delle tecnologie informatiche; dall’altro, tuttavia, il quadro delle prescrizioni fornito non sembra essere ancora completamente calzante, e peraltro è dubbia la sua applicazione ai più recenti fenomeni digitali. Il primo rilievo che può essere mosso al provvedimento riguarda proprio le definizioni: la descrizione di cosa si debba intendere per “SPAM”, fornita in apertura del documento, appare generica; come già rilevato, la definizione viene costruita in base a previsioni già esistenti nel Codice per la Protezione dei Dati Personali, ma il Garante perde l’occasione per includere tale definizione nel Codice stesso, ritenendo forse sufficienti i riferimenti tracciati [19]. In realtà, il fenomeno così come circoscritto dalla definizione del Garante appare fortemente limitato, rispetto a quella che è l’effettiva estensione dello spam: sono, infatti, considerate “lesive” solo quelle modalità di comunicazione pubblicitaria non autorizzata che coinvolgono direttamente i recapiti dei soggetti interessati (numero di telefono, fax, indirizzo di casa, indirizzo e-mail), con l’effettivo invio di materiale pubblicitario; oggi, tuttavia, la definizione di spam non può e non deve essere limitata alla sola ricezione di pubblicità al proprio domicilio (virtuale o fisico che sia) [20]: un cookie che memorizza le preferenze e/o gli acquisti di un soggetto per proporre banner pubblicitari tematici, infatti, ben può essere considerato anch’esso strumento per comunicazione commerciale [21]. Nelle linee guida in esame non si rinviene tuttavia alcun accenno ai cookies, che pure sono stati oggetto di approfondimento e disciplina (sia in ambito comunitario, che italiano), in sede di attuazione della Direttiva e-privacy. Ugualmente ignorato dal Garante sembra il fenomeno del c.d. Spam 2.0, che si propaga anch’esso senza il necessario invio di comunicazioni ad indirizzi di corrispondenza degli utenti del web; un esempio concreto e chiarificatore è quello di un algoritmo di ricerca che utilizza le informazioni inserite da un utente per promuovere “risultati sponsorizzati” tra le prime voci disponibili. Il risultato di tale meccanismo ha anch’esso carattere di comunicazione commerciale [22], tuttavia tale pratica non sembra contemplata nelle definizioni e nelle prescrizioni fornite dal Garante nel provvedimento n.330/2013 [23]. A quanto accennato va aggiunto che le c.d. “nuove modalità di spam” descritte dal Garante hanno contorni troppo definiti e scontano quindi le limitazioni di una tale scelta: le fornite definizioni di “social spam” e “marketing virale” sono infatti adatte a coprire solo un ridotto novero di casistiche, rispetto a quelle realmente configurabili grazie alle forme di trattamento dei dati personali per fini promozionali già esistenti [24]. In particolare, il Garante trascura di menzionare quelle modalità di raccolta dei dati personali di terzi che sfruttano gli stessi utenti/acquirenti di un bene o servizio, in maniera più ampia e pervasiva di quanto viene definito come “marketing virale”: si pensi alla possibilità, offerta già oggi sia da servizi tradizionali che informatici, di “consigliare” gli stessi a propri amici, fornendo in tale sede indirizzi e recapiti altrui ad un fornitore, che li potrà utilizzare per sollecitare a più riprese l’acquisto/utilizzo di propri prodotti o servizi al soggetto segnalato [25]. Altro appunto critico riguarda le casistiche censite dal Garante per ricavare le linee guida in esame: anche in questo caso, benché il documento contenga svariati riferimenti a casi di spam via telefono, fax ed email, pochi sono i casi utilizzati per la definizione delle “nuove tipologie di spam”. L’acquisizione del consenso al trattamento per fini commerciali dei dati personali è parte integrante, ad oggi, delle condizioni d’uso di molteplici servizi digitali di varia natura (non solo social network o siti di e-commerce), soprattutto in ragione dello sviluppo (e del successo) di nuovi modelli di business; detti modelli permettono agli utenti l’utilizzo di un servizio a costi ridotti o persino gratuitamente, “spendendo” in cambio il trattamento dei propri dati personali per l’invio di comunicazioni commerciali da parte del fornitore e/o di terzi soggetti, oppure accettando di farsi “profilare” in maniera più o meno anonima [26]. Questo fenomeno viene in realtà solo lambito dal provvedimento in commento [27], ma il Garante sembra scegliere di non inserirlo nell’elenco delle casistiche esaminate; più efficace sarebbe stato, forse, fornire alcune indicazioni specifiche al riguardo, nella prospettiva di espansione del fenomeno, così da perimetrare il rispetto della privacy anche in tale ambito, preservando al tempo stesso uno tra i più utilizzati ed apprezzati strumenti di compensazione per i servizi offerti in modalità digitale [28]. In conclusione, l’azione del Garante, nell’ambito dei fenomeni descritti, è ancora agli inizi e gli interventi di tutela sono stati, per ora, limitati a specifiche fattispecie; tuttavia tracking cookies, trattamenti per interposta persona ed altre pratiche affini sono già attive da tempo, sia all’estero che in Italia, ed hanno già consolidato la loro presenza nei confronti del pubblico. L’ingresso sul mercato di dispositivi elettronici potenzialmente sempre più invasivi della privacy (sia di chi li adopera che degli utenti terzi) [29], richiederà l’introduzione di una più adeguata normativa, anche per ciò che riguarda le comunicazioni commerciali ed il marketing mediante profilazione, per evitare che la semplicità tecnologica di tali strumenti giunga a creare prassi di trattamento difficilmente modificabili da un intervento a posteriori, da parte del Garante. Il provvedimento analizzato, dunque, si dimostra ancora incompleto, sia dal punto di vista ricognitivo, che da quello prescrittivo: esso è ancora troppo legato a fenomeni “tradizionali” di spam, trascura di disciplinare fenomeni già esistenti di trattamento dati per finalità di invio pubblicitario, e rischia di diventare rapidamente desueto, in conseguenza dello sviluppo di nuove e più aggressive modalità di raccolta dei dati personali, legate ai nuovi mezzi di acquisizione del consenso.

Note

[*] Il presente contributo è stato preventivamente sottoposto a referaggio anonimo affidato ad un componente del Comitato di Referee secondo il Regolamento adottato da questa Rivista. [1] Provvedimento del 4 luglio 2013, n.330, pubblicato in G.U. n. 174 del 26 luglio 2013. [2] In ossequio all’omonimo marchio di carne in scatola americana, che per primo fu oggetto di molteplici e pervasive campagne pubblicitarie su ogni mezzo di comunicazione al pubblico allora esistente. [3] Reperibile in versione integrale sul sito web del Garante, al seguente indirizzo: http://www.garanteprivacy.it/garante/doc.jsp?ID=2542348 [4] E precisamente dal 29 maggio 2003, data in cui il Garante adottava il precedente provvedimento generale inerente “Regole per un corretto uso dei sistema automatizzati e l’invio di comunicazioni elettroniche”, ormai desueto in ragione della successiva sostituzione della legge n. 675 del 31 dicembre 1996 con l’attuale Codice in materia di protezione dei dati personali, d.lgs. n. 196 del 30 giugno 2003. [5] Il riferimento è all’art. 7, comma 4, lettera b). E’ interessante, sul punto, notare come questa sia probabilmente la prima volta che il Garante riferisce il colloquiale termine “SPAM” a previsioni del Codice Privacy, pur non ritenendo opportuno, come si dirà, di introdurre una definizione ad hoc nello stesso Codice. [6] D.L. 6 dicembre 2011, n. 201, come convertito dalla legge 22 dicembre 2011, n.214 [7] Direttiva 2009/136/CE del Parlamento e del Consiglio del 25 novembre 2009, che ha di fatto integrato e modificato la già vigente Direttiva 2002/58/CE, “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” implementata con D.lgs. 28 maggio 2012, n. 69. [8] D.lgs. 1 agosto 2003, n. 259. [9] Il Garante fa espresso riferimento ai pareri n. 4/1997 e 5/2004 del Gruppo. [10] La genericità dell’espressione non permette una interpretazione chiara della prescrizione: in particolare, fermo restando il rispetto della privacy degli utenti, non è agevole comprendere a che livello, nelle intenzioni del Garante, i fornitori di servizi di posta elettronica debbano coordinare reciprocamente l’azione dei propri filtri antispam e scambiarsi informazioni sugli utenti spammer in regime di neutralità tecnologica pura. E’ presumibile che il Garante torni in un prossimo futuro a specificare il dettaglio delle misure, in questa sede solo tratteggiate. [11] La delimitazione dei trattamenti effettuati rispecchia il principio del c.d. purpose limitation, recentemente riaffermato, in ambito comunitario, dal Gruppo Art. 29, con il parere WP #203, reperibile all’indirizzo: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf [12] Il criterio implicitamente richiamato dal Garante per l’imposizione degli obblighi di cui al Codice Privacy è quello del luogo in cui la comunicazione viene ricevuta, in aperto contrasto con i differenti criteri (sede del professionista, luogo di invio della comunicazione, ecc.) sostenuti a più riprese dai professionisti oggetto di scrutinio e sanzione da parte del Garante. [13] Acronimo per  “Copia Carbone Nascosta”, opzione mediante la quale è possibile inviare la stessa email a più destinatari senza che gli stessi possano visualizzare gli altri indirizzi ai quali la comunicazione è inoltrata. [14] L’intervento in questione va inquadrato nell’ambito della campagna “connetti la testa”, avviata dal Garante per sensibilizzare gli utenti dei social network sul corretto utilizzo di tali strumenti e sui rischi della incontrollata e spesso inconsapevole condivisione di dati personali in rete (http://www.garanteprivacy.it/connettilatesta). [15] In questo caso, il criterio adottato dal Garante è quello del contenuto dei messaggi veicolati, e ciò implica che la valutazione in sede di istruttoria sarà compiuta secondo una logica di c.d. case by case. [16] Andando oltre il certamente veniale errore ortografico (Messanger invece che Messenger, riferito alla rete di messaggistica istantanea online di Microsoft), non deve stupire che il Garante rivolga la disciplina anche ad uno strumento di messaggistica già dismesso dal produttore (MSN Messenger è stato sostituito integralmente da Skype, a decorrere da Aprile 2013, in ragione dell’acquisizione di tale ultimo strumento da parte di Microsoft): come abbiamo detto in precedenza, le linee guida in esame sono prevalentemente costituite da un coacervo di casistiche sottoposte negli anni al Garante, e dunque l’orientamento riassunto in materia si è formato anche a seguito segnalazioni che riguardavano tale dismesso strumento. [17] Il riferimento al social network per antonomasia Facebook è costante nel documento, segno della particolare attenzione prestata dal Garante a tale mezzo di aggregazione in rete. [18] Si dirà, infra, della effettiva pericolosità di tale esclusione, in rapporto alla diffusione di fenomeni pubblicitari che sfruttano proprio la tecnica del “consiglio amicale”. [19] A ben vedere, anche nelle Direttive UE che riguardano il settore (95/46/CE, 2002/58/CE e 2009/136/CE), non compare la dicitura “spam”. Tuttavia, tale assenza è giustificata dalla previsione, in esse, dell’espresso obbligo, per i legislatori dei singoli Stati Membri, di “adottare le misure appropriate per garantire che le comunicazioni indesiderate allo scopo di commercializzazione diretta, in casi diversi [da quelli tradizionali] non siano permesse se manca il consenso degli abbonati o utenti interessati […]” (art. 13, comma 3, Direttiva 2002/58/CE). [20] E’ interessante notare come proprio le Direttive UE in materia di diritto alla privacy, pur essendo datate, non sembrano prevedere alcuna preventiva limitazione delle modalità di manifestazione e propagazione dello spam. [21] Sul punto, deve darsi risalto anche alla tendenza diffusa, da parte dei siti web che adoperano tecnologie di c.d. tracking cookies e similari, a rimandare i propri utenti alla lettura delle condizioni di utilizzo e trattamento dei terzi soggetti che forniscono tali tecnologie, con una evidente asimmetria informativa nei confronti del soggetto i cui dati sono trattati, che sarebbe forse meritevole di adeguato approfondimento sia normativo che di tutela. [22] Trattasi di quello che è stato definito “Web Spam”; sul punto, si veda anche la breve analisi di Gyongyi / Garcia-Molina “Web Spam Taxonomy”  in First International Workshop of Adversarial Information Retrieval on the Web (AIRWeb 2005), disponibile all’indirizzo http://ilpubs.stanford.edu:8090/771/ . [23] Il citato concetto di “Spam 2.0” ha dunque radicalmente alterato l’originaria definizione di spam. Volendo ipotizzare una definizione aggiornata, oggi dovrebbe ritenersi “spam” qualsiasi pratica non espressamente richiesta o autorizzata dagli utenti che preveda la proposizione agli stessi di iniziative pubblicitarie di vario genere, tramite mezzi di comunicazione di qualsiasi natura. [24] Come si è accennato, il Garante sembra fermo, nel provvedimento, alle posizioni espresse dal Gruppo Art. 29, in ambito comunitario, con l’opinione n.5/2004 “on unsolicited communications for marketing purposes under Article 13 of Directive 2002/58/EC” (disponibile all’indirizzo: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp90_en.pdf), mentre il Gruppo in questione ha, nel tempo e con opinioni e raccomandazioni successive, affinato e, in taluni casi, superato tali posizioni (un appropriato documento di riepilogo del corrente stato dei lavori del Gruppo è la dichiarazione del 27 febbraio 2013, reperibile all’indirizzo http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/ 20130227_statement_dp_reform_package_en.pdf ). [25] Si noti che la moltitudine dei soggetti clienti a cui è rivolto lo strumento della “segnalazione ad un amico” e la circostanza che l’opzione in questione non sembra affatto espressamente predisposta per far “emergere la volontà dei promotori di avviare una campagna promozionale”, esclude che la stessa possa essere considerata “marketing virale”. Tuttavia, data la serialità dello strumento, non si può fare a meno di ritenerlo, perlomeno a livello concettuale, una pratica di spam, che si concretizza grazie ad una autorizzazione al trattamento ottenuta per interposta persona. [26] Il Garante si è per verità già espresso in più occasioni, in tema di profilazione per fini statistici e di marketing in rete, eppure, inspiegabilmente, ha ritenuto di non includere riferimenti aggiornati alla disciplina di tali prassi, all’interno delle linee guida in commento. Il riferimento più aggiornato alle pratiche di profilazione, nel documento, risale al 2005 (provvedimento del 24 febbraio 2005, in tema di c.d. fidelity cards), mentre avrebbe potuto essere citato ben più recente indirizzo in materia (si vedano i provvedimenti del 25 giugno 2009 e del 7 ottobre 2010, rispettivamente reperibili agli indirizzi: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1629107 e http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1763037). [27] La parte delle linee guida riferita all’obbligo di informativa preventiva, per la sua naturale ampiezza, si presta, infatti, ad essere estesa anche a tali fenomeni. [28] In tema di profilazione dell’utenza, il Gruppo Articolo 29 ha già ravvisato, con un breve advice paper del 13 maggio 2013, la possibile necessità di riformare l’art. 20 della Direttiva 2002/58/CE, proprio per introdurre una definizione del fenomeno. Il citato paper è reperibile al seguente indirizzo: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2013/20130513_advice-paper-on-profiling_en.pdf . [29] Il riferimento non deve limitarsi ai soli Google Glasses, le cui dirompenti criticità per la privacy sono già all’esame dei Garanti europei, ma anche ad altri dispositivi che sono già presenti sul mercato (come ad esempio i più recenti smartphone, capaci di profilare e tracciare i comportamenti degli utenti, allo scopo di proporre pubblicità, applicazioni e/o servizi conferenti alle abitudini rilevate). Scarica il quaderno Anno III – Numero 2 – Aprile/Giugno 2013 [pdf]

DIMT

Articoli correlati

Back To Top