Lo Spam [Guide Security

pc-facile.com

http://www.pc-facile.com/guide/spam/177.htm

E-mail: Dylan666 20 Dicembre 04 @ 00:01 am

5. Lo spam in Italia

Nel diritto italiano non esiste una normativa che disciplini il fenomeno dello spam, ma sono presenti norme che possono essere adattate, anche per analogia ove consentito, al fenomeno. Esse sono: l'art. 13 della l. 675/96, da leggere in relazione all'art. 9 della medesima legge, a cui bisogna aggiungere altre norme che si dovrebbero porre in rapporto di specialità rispetto alla stessa l. 675/96, le cui regole dovrebbero costituire la norma di portata generale, mentre le altre norme dovrebbero costituire la normativa specifica per determinati settori, ovvero per determinate categorie di utenti.

Tali altre norme sono: il d.lgs. 13 maggio 1998, n° 171 (in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio), con particolare riferimento all'art. 10 dello stesso, il successivo d.lgs. 22 maggio 1999, n° 185 (in attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza) il quale all'art. 10 specifica chiaramente cosa può essere considerato "spamming" ai fini della medesima legge, ed infine il recentissimo d.lgs. 28 dicembre 2001, n° 467. Le sanzioni sono quelle previste, in primo luogo, dall'art. 35 della l. 675/96, richiamato espressamente dall'art. 11 del d.lgs. 171/98, nonché quelle previste dall'art.12 del d.lgs. 185/99 appena citato.
Partendo dall'analisi della lettera e) del 1° comma dell'art.13 della 675/96, che regola in maniera specifica le possibilità per il soggetto che subisce lo spamming stesso, è piuttosto agevole rilevare come il principio posto sia quello del "diniego di ulteriore invio"; di conseguenza, mentre il primo invio di materiale pubblicitario ovvero di materiale necessario per vendita diretta non costituisce trattamento illecito di dati personali, gli eventuali invii successivi al primo dopo che l'utente (interessato) abbia manifestato il proprio dissenso, rendono tale attività del tutto illegale. Tutto questo in quanto dal combinato disposto degli artt. 9, 11 e 12 della l. 675/96, è possibile ricavare il principio secondo cui il consenso non è necessario allorché il dato personale (nel caso di specie l'indirizzo di posta elettronica) sia stato reperito attraverso una raccolta di dati su "elenchi pubblici", quali possono essere considerati, in linea di massima, i newsgroup ovvero le pagine web ad accesso libero. Qualora però tale consenso venga negato, poiché l'art. 9 stabilisce che i dati devono essere raccolti e trattati:
a) ... in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
risulta abbastanza evidente come il successivo "trattamento" di tali dati sia illecito in mancanza del consenso, non necessario in prima istanza ma negato in seconda istanza, ovvero dopo l'invio del primo messaggio pubblicitario.

Proseguendo nell'analisi appena iniziata, si va ad esaminare la prima delle normative specifiche, ovvero il d.lgs. n.171/98 che riguarda proprio la c.d. "privacy nelle telecomunicazioni". La situazione sembrerebbe capovolgersi, in quanto viene richiesto il preventivo consenso espresso dell'abbonato, come recita il 1° comma dell'art. 10 del d.lgs. citato: "L'uso di un sistema automatizzato di chiamata senza intervento di un operatore o del telefax per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, è consentito con il consenso espresso dell'abbonato." Notiamo che l'articolo in questione parla soltanto di "sistema automatizzato di chiamata senza intervento di un operatore", ovvero dell'utilizzazione del telefax; tale dizione si presta, di conseguenza, ad una duplice interpretazione, l'una più restrittiva, l'altra più elastica.

Secondo una prima interpretazione, sicuramente più restrittiva e forse più in linea con i dettami della l. 675/96, si dovrebbe ritenere che l'utilizzazione di un "sistema automatizzato di chiamata" possa comprendere anche l'invio di posta elettronica, potendosi ben applicare a qualsiasi mezzo di comunicazione a distanza (e non) che possa essere utilizzato secondo le tecniche possibili in un determinato momento storico.
Da un altro punto di vista, poiché la sanzione per il mancato rispetto della norma appena citata è quella prevista dall'art.35 delle 675/96, e quindi si tratta di una sanzione di tipo penale, si potrebbe ragionevolmente ritenere che, non potendosi applicare, come tutti sanno, l'analogia nel campo del diritto penale, la dizione della legge debba essere presa nel suo significato letterale ed assoluto, e che quindi ne possano restare esclusi gli invii di posta elettronica che, comunque, utilizzino tecniche automatizzate. Da tenere presente, inoltre, che l'uso del termine "abbonato" induce a ritenere che tale norma si debba applicare non solo nei confronti dell'utente-consumatore, ma anche nei confronti di qualunque soggetto "abbonato", appunto, ad un servizio di telecomunicazioni.

Occorre a questo punto analizzare la terza delle norme richiamate, ed esattamente l'art. 10 del d.lgs. 185/99, che concerne i c.d. "contratti a distanza". Tale norma si presenta più chiara, almeno per quanto concerne la terminologia adottata, rispetto a quella contenuta nel d.lgs. 171/98; in questo caso, infatti, si parla espressamente di tecniche di comunicazione a distanza, e specifica che: "L'impiego da parte di un fornitore del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax, richiede il consenso preventivo del consumatore".

Anche in questo caso, pertanto, si richiede il preventivo consenso espresso da parte del consumatore, laddove la norma generale richiedeva soltanto il diniego dopo i primi messaggi. Ovviamente, poiché si parla esplicitamente di "posta elettronica", non si potrà in alcun modo escludere che tale mezzo di comunicazione possa non rientrare nel dettato della norma in esame; è però forse opportuno precisare due concetti.

Innanzi tutto che al secondo comma dell'articolo citato si legge testualmente che: "Tecniche di comunicazione a distanza diverse da quelle di cui al comma 1°" nel solo caso in cui tali tecniche "consentano una comunicazione individuale", ed a patto che "il consumatore non si dichiara esplicitamente contrario".

Inoltre la terminologia adottata (consumatore al posto di abbonato) dovrebbe portare ad escludere l'applicazione di tale normativa, in particolare del 2° comma, laddove le comunicazioni commerciali vengano effettuate nell'ambito della comunicazione interaziendale, proprio perché l'utilizzatore professionale del mezzo di telecomunicazione non è concettualmente un consumatore . Le sanzioni, d'altra parte, nel caso di applicazione del d.lgs. 185/99, ovvero in tutti i casi in cui l'invio di materiale pubblicitario sia funzionale alla possibile conclusione di un contratto di vendita di un bene e/o di un servizio attraverso un "mezzo di comunicazione a distanza" sono soltanto di carattere amministrativo, senza alcun risvolto di carattere penale, sempre che il "trattamento illecito" non rientri nell'ambito più generale della l. 675/96.

Nel campo dello spam, ultimamente, il governo ha approvato un decreto legislativo che apre la strada per la via dell'autoregolamentazione. Precisamente con l'art. 20 del d.lgs. 28 dicembre 2001 n° 467, il quale affida al Garante per la privacy il compito (già assegnatoli in via generale dall'art. 31 della l. 675/96) di promuovere entro il 30 giugno 2002 la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati che trattano dati personali, in particolare per il settore della comunicazione interattiva e del marketing. Il fatto di assegnare un termine è una novità che porta i compiti del garante nel campo dell'autoregolamentazione al di là di un semplice impegno programmatico.
Il d.lgs. 467/2001 indica alcune linee guida: nei casi in cui il trattamento non richieda il consenso dell'interessato i codici prevedranno forme semplificate per manifestare l'eventuale dichiarazione di ogni utente di non voler ricevere determinate comunicazioni. Un esempio può essere il ricorso ai cosiddetti sistemi di cancellazione centralizzati multicanali (come il servizio gratuito "CANCELLAMI", www.cancellami.it).

Oltre alle norme fino ad ora esaminate numerose sono state le prese di posizione del Garante per la privacy in merito al problema dello spam. Un parere importante è quello relativo alla lista elettorale "Emma Bonino" che nel corso dell'anno 2000 si era resa protagonista di un massiccio invio di e-mail d'informazione politica. Il parere è importante soprattutto nel passaggio relativo alle modalità con cui la lista "Emma Bonino" si era procurata gli indirizzi di posta elettronica ai quali indirizzare le proprie informazioni, metodo che non differisce in alcun modo da quelli utilizzati dagli spammer professionisti. Secondo l'Autorità per la protezione dei dati personali, "la mera conoscibilità degli indirizzi di posta elettronica non consente di per sé l'invio generalizzato di e-mail (il cosiddetto spamming), di qualunque contenuto siano i messaggi, compreso quello politico-elettorale. Ciò tanto più se gli indirizzi vengono raccolti attraverso appositi software di ricerca di coloro che utilizzano la posta elettronica".

Nel corso dell'istruttoria, l'associazione aveva fatto presente di aver reperito circa 400 mila indirizzi di posta elettronica utilizzando un apposito programma capace di archiviare indirizzi e-mail visualizzati sulle pagine web con suffissi di diverso tipo (.it, .org, .com e .net) accessibili a chiunque in rete senza l'uso di password o di altri sistemi di protezione. L'associazione aveva sostenuto che gli indirizzi di posta elettronica provenivano da "pubblici registri, elenchi, atti o documenti conoscibili da chiunque", e la loro utilizzazione era quindi, in base alla l. 675, consentita anche in mancanza di una previa manifestazione positiva di consenso da parte degli interessati.

Il Garante ha invece ricordato che "la previsione, contenuta nella legge sulla privacy, relativa a "pubblici registri, elenchi, atti o documenti conoscibili da chiunque" non può essere riferita a qualunque dato personale che sia di fatto consultabile, ma ai soli dati personali che siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, come può ritenersi anche per gli elenchi telefonici. Le disposizioni della legge sulla privacy sui registri ed elenchi pubblici, ha spiegato l'Autorità, "non possono essere estese arbitrariamente e non possono essere applicate in modo da poter raccogliere ed utilizzare liberamente qualsiasi dato personale di natura non sensibile in base alla sola circostanza che il dato sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti".

Da questo discende che l'utilizzazione degli indirizzi di posta elettronica non poteva avvenire senza un preventivo consenso degli interessati, consenso che non è risultato espresso, né al momento dell'attivazione dell'utenza ad Internet né successivamente, da nessuno dei cittadini che hanno presentato la segnalazione al Garante.

L'Autorità ha, inoltre, costatato "l'infondatezza dell'altra tesi sostenuta dall'associazione secondo la quale, con la partecipazione a forum e newsgroup, l'utente Internet decide di rendere pubblico il proprio indirizzo di posta elettronica e che quell'indirizzo potrà essere utilizzato per spamming da chiunque si trovi a passare dalla pagina web interessata". Queste conclusioni sono molto importanti ai fini delle responsabilità di chi, a volte per mestiere, rastrella, attraverso appositi software, siti web, newsgorup, forum e mailing list, alla ricerca di indirizzi web da poter vendere o sfruttare a fini "spammatori".

Riepilogando possiamo dire che l'art. 13 della l. 675/96 si applica a qualsiasi soggetto giuridico, ma diviene norma suppletiva laddove si possano e debbano applicare i decreti legislativi 171/98 e 185/99. Il d.lgs. 171/98 regola espressamente soltanto la c.d. privacy nelle telecomunicazioni, e pertanto non può ritenersi in linea di massima applicabile in altri ambiti, anche per il richiamo espresso alla norma penale della l. 675/96. Il d.lgs. 185/99, infine, regola i cosiddetti "contratti a distanza", e quindi va a sovrapporsi parzialmente al dettato del d.lgs. 171/98, nel quale appare difficile ipotizzare delle chiamate di semplice "disturbo" se non finalizzate alla vendita di beni o servizi da parte di qualche soggetto giuridico.