A seguito delle numerosissime segnalazioni ricevute, il Garante per la protezione dei dati personali é recentemente tornato sul tema dello spamming, vale a dire dell’invio non autorizzato di e-mail pubblicitarie, questa volta tramite un provvedimento generale datato 29 maggio 2003, in occasione del quale ha avuto modo di definire alcuni importanti principi vigenti in materia.
Il principio del consenso preventivo
Anzitutto ha osservato il Garante che gli indirizzi di posta elettronica costituiscono informazioni contenenti dati di carattere personale e pertanto vanno trattati nel rispetto della ben nota Legge 31.12.1996 n. 675.
Il loro utilizzo per scopi pubblicitari e promozionali é dunque consentito solamente previo consenso libero, specifico ed informato dell’ interessato, anche quando la formazione e l’utilizzo degli indirizzi stessi siano eseguiti con le seguenti specifiche modalità:
– automaticamente senza intervento di operatore;
– senza previa verifica circa l’identitià del destinatario del messaggio;
– senza registrazione dell’indirizzo di posta elettronica successivo all’invio della e-mail. Tale principio del consenso preventivo, peraltro ribadito nell’ambito del D.gs. n. 171/1998, é stato recentemente esteso a tutta l’Unione Europea dalla Direttiva n. 2002/58/CE e costituisce dunque un primo argine all’ impiego indiscriminato della posta elettronica per scopi promozionali ed alle ingiustificate lesioni che ne conseguono derivanti, per esempio, dalle prolungate connessioni per la ricezione di messaggi oltre che dagli oneri relativi all’adozione di sistemi anti-virus o di cancellazione rapida di materiale inadatto a minori.
Ogni tentativo di elusione della citata disciplina, dunque, va inteso come illecito, compreso l’invio di e-mail anonime ovvero contenenti il riconoscimento di un semplice diritto di non ricevere più messaggi dello stesso tenore.
Né può essere invocato l’art. 12, comma 1, lett. c, della Legge n. 675/1996 circa l’esclusione del consenso in tutti quei casi in cui gli indirizzi di posta elettronica siano più o meno facilmente reperibili in rete o altrove. Sul punto il Garante per la privacy ha escluso in modo tassativo che la reperibilità degli indirizzi possa essere intesa come libera utilizzabilità degli stessi per scopi pubblicitari, distinguendo in maniera netta, quindi, le ipotesi di “pubblicità” dei dati personali in senso stretto intesa, cui il citato art. 12, comma 1, lett. c, si riferisce, dagli altri casi di mera conoscibilità degli stessi riferibile unicamente a circostanze di fatto.
Diritto di revoca del consenso e di accesso ai propri dati
Al contrario é stato ulteriormente chiarito che chi detiene indirizzi di posta elettronica deve sempre assicurare agli interessati il diritto di revocare il consenso precedentemente espresso, di richiedere e conoscere la fonte degli stessi e di ottenerne eventualmente la cancellazione, così come chi acquista e detiene banche dati di indirizzi e-mail ha il dovere di accertare che ciascuno degli interessati abbia effettivamente e validamente espresso il proprio consenso.
Sanzioni e tutele
Le sanzioni per i trasgressori sono, a seconda dei casi, amministrative di tipo pecuniario (cfr. artt. 34 e 39 Legge n. 675/1996 e 12 D.Lgs. n. 185/1999), o addirittura penali, con la reclusione fino ad un massimo di tre anni, quando la violazione sia stata commessa al fine di trarne per sé o altri profitti o di recare ad altri un danno (art. 35, Legge n. 675/1996).
Per agevolare la tutela degli utenti il Garante ha da tempo messo a disposizione sul proprio sito internet un modello di istanza per richiedere, nei confronti di chiunque ne fosse in possesso, l’accesso ai propri dati personali ed in generale per l’esercizio dei diritti riconosciuti dalla Legge. Diversamente é comunque sempre possibile ottenere tutela delle proprie ragioni ricorrendo allo stesso Garante ovvero all’Autorità Giudiziaria.
Infine per l’ipotesi in cui l’e-mail indesiderata sia di provenienza estera, il provvedimento in esame fornisce utili indicazioni circa i rimedi comunque esperibili nonostante l’inapplicabilità al caso specifico della normativa italiana sulla protezione dei dati personali.
Il provvedimento integrale è consultabile sul sito www.garanteprivacy.it