Dal primo gennaio 2004 entrerà in vigore il Codice di protezione dei dati personali: il Codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali.
Il tutto deve avvenire secondo principi di armonizzazione, semplificazione ed efficacia delle modalità previste per la tenuta dei dati. Inoltre il codice si basa sul cosiddetto principio di necessità in quanto i sistemi informativi ed i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Il Codice affronta anche la questione dello spamming. Con il termine spamming si indica la tecnica di invio di messaggi di posta elettronica non richiesti ai fini commerciali. Lo spamming causa ovviamente costi all’utente - qualora non si avvalga di una linea ADSL – nonché sottrazione di tempo in quanto deve discernere le e-mail di interesse rispetto a quelle di mera comunicazione commerciale o promozionale, senza poi considerare che lo spamming spesso provoca intasamento del canale di trasmissione.
Riassumendo i principi stabiliti dal Garante sino ad oggi mediante pronunce inerenti lo spamming, si può in sintesi ritenere che: è soggetto all’applicazione della privacy ed equivale a spamming l’invio di messaggi anche da parte di persone fisiche quando si tratti di comunicazione sistematica; l’invio di e-mail commerciali indesiderate dovrebbe essere possibile solo qualora il destinatario abbia precedentemente acconsentito a ricevere tali messaggi ed infine, la presenza di un indirizzo e-mail di una persona su un sito internet non autorizza le aziende, per il solo fatto di essere pubblico, ad utilizzarlo per inviare pubblicità, in quanto internet non equivale a elenco pubblico.
In materia specifica di spamming, il Codice interviene in particolare su due voci aventi ad oggetto le comunicazioni indesiderate ed il direct marketing, rispettivamente disciplinati dagli artt. 130 e 140.
In merito alle comunicazioni commerciali, il Codice stabilisce che l’uso di sistemi automatizzati di chiamata per l’invio di materiale pubblicitario o di vendita diretta è consentito con il consenso dell’interessato. Tale disposizione si applica anche alle comunicazioni elettroniche, effettuate per le suddette finalità mediante posta elettronica, sms, sms o altro. Se il titolare del trattamento utilizza, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, informato, non rifiuti inizialmente o successivamente, tale uso. È vietato in ogni caso l’invio di comunicazioni a scopo promozionale effettuato camuffando o celando l’identità del mittente o senza fornire un idoneo recapito presso il quale possa esercitare i diritti previsti dal TU.
Mentre in merito al direct marketing, il Garante promuove la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato ai fini di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell’interessato, forme semplificate per manifestare e rendere meglio conoscibile l’eventuale dichiarazione di non voler ricevere determinate comunicazioni.
Sembra perciò doversi ritenere che per l’invio di messaggi di posta elettronica a contenuti commerciali e promozionali si debba ottenere il consenso informato del destinatario; tale consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente mediante un software; inoltre tale consenso deve essere chiesto prima dell’invio e solo dopo aver informato l’interessato sugli scopi per i quali i suoi dati verranno usati; vale la regola e del opt-in e non opt-out. Non sono peraltro ammissibili messaggi anonimi, soprattutto alla luce dei diritti inerenti il titolare dei dati raccolti che in qualsiasi momento deve poter esercitare i diritti di modifica, aggiornamento, cancellazione, ecc. previsti già dalla legge 675/96 e ribaditi e puntualizzati nel nuovo Codice. Inoltre la formazione di un elenco di chi intende ricevere e-mail pubblicitarie o di black-list non deve comportare oneri per gli interessati.
Qualora non siano rispettati i suddetti criteri, l’Autorità ha disposto una serie di penalità consistenti sia in multe (sino a 30 mila euro in caso di omessa informativa all’utente) sia in vere e proprie sanzioni penali quali ad esempio la reclusione da sei mesi a tre anni qualora l’uso illecito dei dati sia stato effettuato al fine di trarre per sé o per altri un profitto o di arrecare ad altri un danno. Sanzione accessoria la pubblicazione della pronuncia penale di condanna.
Una svolta a favore dell’utente contro “ingombri” continui della posta elettronica e contro la selvaggia raccolta di indirizzi di posta elettronica in rete.
Dott.ssa Valentina Frediani
(riproduzione riservata)