PROVVEDIMENTO
29 maggio 2003
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna,
in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe
Santaniello, vice-presidente, del prof. Gaetano Rasi e del dr. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTI i reclami e le segnalazioni pervenuti all’Autorità
circa l’indebito utilizzo della posta elettronica per finalità
promozionali e pubblicitarie;
VISTE le decisioni già adottate dal Garante in materia e ritenuto
necessario adottare un provvedimento di carattere generale sull’applicazione
della disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lgs. 13 maggio 1998, n.
171 e le altre disposizioni applicabili;
VISTI gli atti d’ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art.
15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO:
1. I DISAGI
DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di reclami
e segnalazioni da parte di utenti di reti telematiche e di associazioni
per la tutela dei diritti di utenti e consumatori, che contestano la ricezione
di messaggi di posta elettronica per scopi promozionali, pubblicitari,
di informazione commerciale o di vendita diretta, inviati senza che gli
interessati abbiano manifestato in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi derivanti dalla
costante ripetizione di analoghi messaggi da parte di uno stesso mittente
titolare del trattamento, dai vani tentativi esperiti per ottenere sia
la cancellazione del proprio indirizzo di posta elettronica presso i mittenti,
sia l’interruzione di altri messaggi. Altre segnalazioni riguardano
gli inconvenienti che derivano dalla ricezione di e-mail anonime o prive
dell’indicazione di un indirizzo, oppure delle coordinate veritiere
di un reale mittente.
Nella prevalenza dei casi, agli interessati non è stato previamente
richiesto, come dovuto, uno specifico consenso preceduto da un’idonea
informativa che illustri adeguatamente le modalità e le caratteristiche
dei messaggi.
In altri casi i messaggi sono inviati da imprese -anche in questo caso
senza consenso- per promuovere, presso clienti, prodotti o servizi analoghi
a quelli forniti in un rapporto contrattuale, oppure per offrire altri
tipi di prodotti o servizi distribuiti anche da terzi.
Il Garante ha fornito assistenza a numerosi cittadini, indicando le opportune
modalità di tutela; ha poi attivamente cooperato in sede comunitaria
per l’adozione di decisioni comuni alle autorità di garanzia
dei Paesi dell’Unione europea, pubblicate nel sito Internet di quest’ultima
e in quello del Garante (www.garanteprivacy.it).
L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge
n. 675/1996), a seguito dei quali sono stati impartiti specifici divieti
di trattamento dei dati. Sono stati altresì avviati i procedimenti
per applicare le pertinenti sanzioni amministrative e sono stati trasmessi
gli atti all’autorità giudiziaria penale nei casi in cui
erano configurabili reati.
Con la collaborazione di forze di polizia, incaricate da questa Autorità
di svolgere i necessari controlli e di dare esecuzione ai provvedimenti,
sono stati eseguiti in loco, presso fornitori di servizi ed altri titolari
di trattamento, vari provvedimenti di sospensione temporanea di ogni operazione
illecita del trattamento dei dati personali da parte di società
risultate responsabili di attività svolte in modo sistematico.
Infine, sono stati eseguiti accertamenti presso altri fornitori di servizi
di accesso ad Internet o ulteriori soggetti, per verificare la rispondenza
dei trattamenti di dati alla normativa vigente.
A conclusione di queste attività, il Garante ravvisa la necessità
di adottare un provvedimento di carattere generale per indicare le misure
che gli operatori del settore devono adottare al fine di conformarsi alla
disciplina generale sull’uso dei dati personali, specie nel settore
delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675,
al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo
22 maggio 1999, n. 185). L’Autorità ritiene inoltre necessario
inibire il trattamento illecito di dati risultante da altre segnalazioni
il cui esame è stato riunito in un unico procedimento, in particolare
di quelle relative a titolari di trattamento identificabili.
2. INVIO LECITO
DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di posta elettronica recano dati di carattere personale
da trattare nel rispetto della normativa in materia (art. 1, comma 1 lett.
c), legge n. 675).
La loro utilizzazione per scopi promozionali e pubblicitari è possibile
solo se il soggetto cui riferiscono i dati ha manifestato in precedenza
un consenso libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi sono formati
ed utilizzati automaticamente con un software senza l’intervento
di un operatore, o in mancanza di una previa verifica della loro attuale
attivazione o dell’identità del destinatario del messaggio,
e anche quando gli indirizzi non sono registrati dopo l’invio dei
messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di opt-in,
è stato ribadito nel 1998 (con il d.lgs. n. 171) prima ancora che
una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione
europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla
G.U.C.E. n. L 201 del 31 luglio 2002).
Questa Autorità si è pronunciata più volte in materia
ribadendo che la circostanza che gli indirizzi di posta elettronica possano
essere reperiti con una certa facilità in Internet non comporta
il diritto di utilizzarli liberamente per inviare messaggi pubblicitari
(cfr., fra l’altro, la decisione dell’11 gennaio 2001 - in
Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi
di discussione in Internet sono resi conoscibili in rete per le sole finalità
di partecipazione ad una determinata discussione e non possono essere
utilizzati per fini diversi qualora manchi un consenso specifico (art.
9, comma 1, lettere a) e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica
compresi nella lista "anagrafica" degli abbonati ad un Internet
provider (qualora manchi, anche in questo caso, un consenso libero e specifico),
oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicitari
inviati a gestori di siti web -anche di soggetti privati- utilizzando
gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando
gli elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo
caso, infatti, la conoscibilità in rete degli indirizzi è
volta a identificare il soggetto che è o appare responsabile, sul
piano tecnico o amministrativo, di un nome a dominio o di altre funzioni
rispetto a servizi Internet (per la tutela di vari diritti sul piano civile
e penale, anche ai sensi della legge n. 675) e non anche a rendere l’interessato
disponibile all’invio di messaggi pubblicitari).
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica
comporta una lesione ingiustificata dei diritti dei destinatari, costretti
ad impiegare diverso tempo per mantenere un collegamento e per ricevere,
come pure per esaminare e selezionare, tra i diversi messaggi ricevuti,
quelli attesi o ricevibili, nonché a sostenere i correlativi costi
per il collegamento telefonico (incrementati anche da messaggi di dimensioni
rilevanti che rallentano tali operazioni), oppure ad adottare "filtri",
a verificare più attentamente la presenza di virus, o a cancellare
rapidamente materiali inadatti a minori specie in ambito domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un
elevato numero di messaggi, le quali devono farsi carico di misure interne
e di costi anche organizzativi per contrastarlo.
Questo ingiustificato riversamento sugli utenti dei costi pubblicitari
si verifica anche relativamente a messaggi inviati da singole persone
fisiche che, in vari casi esaminati, non si limitano ad una comunicazione
episodica, ma intraprendono una comunicazione sistematica per fini personali
o, addirittura, una diffusione di dati cui è applicabile la disciplina
in materia di protezione dei dati personali (art. 3 legge n. 675).
3. IL QUADRO
GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua il contenuto dell’informativa agli interessati,
nonché i casi in cui è necessario il consenso espresso dell’interessato
o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n. 675).
Al riguardo va nuovamente rilevato che non può farsi a meno del
consenso ritenendo che i dati personali relativi all’indirizzo di
posta elettronica -e all’indirizzo in particolare- siano "pubblici"
in quanto conoscibili da chiunque.
Le disposizioni normative che si riferiscono a questo aspetto (artt. 12,
comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili
solo quando vi è un pubblico registro, elenco, atto o documento
conoscibile da chiunque perché vi è una specifica disciplina
che ne impone la conoscibilità indifferenziata da parte del pubblico,
e non anche quando i dati personali sono conoscibili da chiunque per mere
circostanze di fatto (si pensi, oltre ai casi già richiamati di
raccolta su siti web o di messaggi trasmessi su newsgroup o su mailing
list, agli indirizzi di posta elettronica raccolti in rete tramite appositi
software o mediante comuni motori di ricerca).
Il principio del consenso è quindi già operante nel nostro
ordinamento prima ancora di essere affermato senza eccezioni su scala
europea, dalla menzionata direttiva n. 2002/58 in fase di recepimento,
a tutta la posta elettronica comunque inviata per fini di commercializzazione
diretta (si vedano in particolare l’art. 13 e il considerando n.
40).
Il quadro evidenziato trova conferma nella disciplina sulla protezione
dei consumatori nei contratti a distanza che, in riferimento al rapporto
sottostante ai fini del quale si procede al trattamento di dati personali,
vieta ai fornitori l’impiego della posta elettronica in mancanza
del consenso preventivo del consumatore, in relazione a determinati scopi
tra i quali rientrano anche quelli pubblicitari (art. 10, comma 1, d.lgs.
22 maggio 1999, n. 185).
Per gli aspetti relativi alla protezione dei dati personali non devono
essere peraltro considerate le disposizioni del recente decreto legislativo
9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito
espressamente inapplicabili (art. 1, comma 2, lett. b) d.lgs. n. 70 cit.).
Il consenso, da documentare per iscritto, deve essere manifestato liberamente,
in modo esplicito e in forma differenziata rispetto alle diverse finalità
e alle categorie di servizi e prodotti offerti, prima dell’inoltro
dei messaggi (art. 11 legge n. 675).
Tale disciplina non può essere elusa inviando una prima e-mail
che, nel chiedere un consenso abbia comunque un contenuto promozionale
oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d.
"opt-out" al fine di non ricevere più messaggi dello
tesso tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni
fornitori i quali, dopo aver ottenuto realmente un valido consenso dei
destinatari, danno semplice conferma della sua manifestazione, attraverso
un messaggio volto unicamente ad annunciare il successivo inoltro di materiale
pubblicitario. Tale prassi, se utilizzata correttamente, consente tra
l’altro di verificare l’effettiva corrispondenza dell’indirizzo
di posta elettronica ai soggetti che avevano espresso il consenso, nonché
di accertare il permanere di tale volontà.
L’insieme dei diritti riconosciuti dalla legge agli utenti determina,
in caso di loro violazione, un trattamento illecito dei dati che:
- è già vietato direttamente dalla legge, senza che sia
necessario adottare uno specifico provvedimento interdittivo del Garante
dell’autorità giudiziaria;
- determina, a seconda dei casi, l’applicazione di sanzioni amministrative
pecuniarie, in particolare per omessa informativa od omessa notificazione
(artt. 10, 34 e 39 legge n. 675; art. 12 d.lgs. n. 185/1999);
- comporta il rimborso delle spese e dei diritti relativi al procedimento
attivato da un fondato ricorso al Garante, oppure da un’azione dinanzi
al giudice civile, come pure il risarcimento dei danni, specie di tipo
patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’interessato
in relazione ai disagi sopra illustrati;
- rende applicabile anche una sanzione penale qualora il trattamento illecito
dei dati sia effettuato al fine di trarne per sé o per altri un
profitto o per arrecare ad altri un danno, con la pena accessoria della
pubblicazione della sentenza di condanna (artt. 35 e 38 legge n. 675).
4. MESSAGGI
PUBBLICITARI A PROPRI CLIENTI
Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro
possibile integrare, nel prossimo futuro, la disciplina sopra illustrata,
permettendo a talune società di far conoscere a propri clienti
prodotti o servizi analoghi a quelli per i quali si è già
stabilito un rapporto, con i medesimi clienti, di vendita di prodotti
o servizi.
In tali casi, la società titolare del trattamento (dopo aver informato
preventivamente e adeguatamente il cliente) potrà procedere all’invio
del messaggio pubblicitario, offrendo però al cliente, in modo
chiaro e distinto (sia al momento della raccolta dei suoi dati, sia in
occasione di ciascun messaggio) il diritto di rifiutare sin dall’inizio
tale uso dei dati o di obiettare, gratuitamente e in maniera agevole,
anche successivamente (art. 13, par. 2, direttiva n. 2002/58/CE cit.)
5. MESSAGGI
PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi portati all’attenzione del Garante, l’invio
di messaggi pubblicitari era stato effettuato, per conto di terzi committenti,
da società specializzate che utilizzano indirizzi di posta elettronica
contenuti in proprie banche dati.
Tali società, da considerarsi "titolari" o contitolari
del trattamento dei dati a seconda del rapporto che si instaura con il
committente e delle modalità di concreta utilizzazione dei dati,
sono tenute a rispettare le disposizioni in tema di informativa e specifico
consenso, anche per quanto riguarda l’eventuale comunicazione di
dati personali ai committenti medesimi e le relative finalità.
Ciò comporta un quadro di obblighi e possibili responsabilità
anche penali che gli operatori devono verificare con attenzione, anche
quando la società specializzata incaricata sia stabilita fuori
dell’Unione europea.
Dall’esame dei reclami e delle segnalazioni pervenuti al Garante
è risultato, altresì, che alcuni dei soggetti che hanno
utilizzato la posta elettronica per l’invio di messaggi pubblicitari
avevano acquisito da terzi le banche dati contenenti gli indirizzi dei
destinatari. In questi casi, chi acquisisce la banca dati deve accertare
che ciascun interessato abbia validamente acconsentito alla comunicazione
del proprio indirizzo di posta elettronica ed al suo successivo utilizzo
ai fini di invio di materiale pubblicitario; al momento in cui registra
i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio
di informativa che precisi gli elementi indicati nell’art. 10 della
legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta
elettronica- presso cui l’interessato possa esercitare i diritti
riconosciuti dalla legge.
6. DIRITTI
DEGLI INTERESSATI
Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari
dei messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati
la possibilità di far valere in ogni momento i diritti riconosciuti
dalla legge, i quali sono spesso esercitati per conoscere da quale fonte
sono stati tratti i dati, o per far interrompere gratuitamente la loro
ulteriore utilizzazione ai fini commerciali-pubblicitari, oppure per far
cancellare i dati trattati in violazione di legge (art. 13, comma 1, lett.
e), della legge).
Nel sito Internet del Garante è riportato un modello-tipo per esercitare
tali diritti in maniera agevole, gratuitamente e senza particolari formalità,
anche verbalmente o mediante posta elettronica, dimostrando la propria
identità (art. 17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale
modello è utilizzabile in luogo di altri reperibili in reti telematiche
che non sono pienamente validi in quanto si riferiscono anche ad aspetti
non riconosciuti dall’art. 13 della legge n. 675 (ad esempio, chiedono
il rilascio di attestazioni o la copia di autorizzazioni non previste).
I diritti vanno esercitati sulla base di tale modello direttamente presso
l’indirizzo conoscibile del titolare o del responsabile del trattamento,
riservando solo ad un’eventuale momento successivo l’instaurazione
di una procedura contenziosa dinanzi al Garante o all’autorità
giudiziaria.
Anche ai fini dell’esercizio di tali diritti, deve ritenersi che
l’invio anonimo di messaggi pubblicitari senza l’indicazione
di un mittente identificabile concreti già oggi un trattamento
illecito di dati personali, a prescindere da quanto dispone il citato
d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori
della materia della protezione dei dati personali) e da quanto, in riferimento
ai dati personali, sarà previsto con il recepimento della direttiva
n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari
quando l’identità del mittente viene camuffata o addirittura
celata e quando non viene fornito un indirizzo valido che consenta al
destinatario di richiedere la cessazione delle comunicazioni: art. 13,
par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già oggi, in modo
chiaro, la fonte di provenienza del messaggio, nonché il soggetto
e l’indirizzo —non solo di posta elettronica- presso cui i
destinatari possono esercitare i propri diritti (si veda, in proposito,
l’art. 10, comma 1, lett. f) della legge n. 675). Appare altresì
conforme al principio di correttezza indicare nell’oggetto del messaggio
la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a),
legge n. 675).
7. ELENCHI
DI POSSIBILI DESTINATARI
L’eventuale elenco predisposto da operatori, contenente i nominativi
dei soggetti che non hanno manifestato il consenso o che lo hanno revocato
(c.d. black list) non può essere utilizzato per porre a carico
degli interessati, anche indirettamente, un onere di iscrizione nell’elenco
medesimo.
Come si è illustrato, il consenso ha un connotato autorizzatorio
"positivo" in base al quale l’eventuale silenzio dell’interessato
comporta il diniego del consenso eventualmente richiesto e non rileva
come assenso tacito all’invio dei messaggi.
Consta peraltro che alcuni operatori intendono adottare la diversa prassi
di redigere anche tramite siti web appositi elenchi di persone che hanno
manifestato il consenso, distinti in base alle diverse categorie di messaggi
commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere.
Tale prassi, se correttamente seguita, può rappresentare una misura
utile, sul piano organizzativo, per garantire un più effettivo
rispetto della volontà espressa dai singoli. A tale riguardo, costituirà
una pratica utile quella di garantire agli interessati la possibilità
di inserire direttamente il proprio nome nelle diverse liste o di cancellarlo
dalle stesse, magari attraverso un’apposita pagina web, ferma restando
l’esigenza di identificarli.
8. E-MAIL
PROVENIENTI DALL’ESTERO
Ad alcuni messaggi, in quanto provenienti dall’estero, non è
applicabile la legge italiana sulla protezione dei dati personali.
Ciò non comporta l’assoluta mancanza di rimedi o tutela,
potendo l’utente chiedere una verifica da parte della competente
autorità nazionale di protezione dei dati personali, ove istituita
nel Paese eventualmente individuabile dal messaggio.
In altri casi, come quelli relativi alle leggi degli stati federali, l’invio
di messaggi pubblicitari di posta elettronica può essere illecito
in base alla legge di alcuni stati, per cui è parimenti possibile,
per gli utenti, chiedere alle competenti autorità pubbliche degli
stati di valutare la perseguibilità degli illeciti.
Va infine tenuto presente che alcune e-mail indesiderate possono essere
lo strumento per commettere reati comuni (ad esempio di truffa) che devono
considerarsi commessi nel territorio italiano quando, sebbene l’azione
è avvenuta all’estero, l’evento-reato che ne deriva
si è verificato in Italia.
Questa Autorità si riserva di valutare la posizione dei singoli
fornitori di servizi i cui trattamenti sono stati oggetto di segnalazione,
anche alla luce dell’ulteriore documentazione eventualmente pervenuta.
In questo quadro, con separati provvedimenti relativi all’esame
dei singoli reclami e segnalazioni, si provvederà, oltre alle eventuali
trasmissioni di atti all’autorità giudiziaria penale:
a) a contestare la violazione amministrativa relativa agli obblighi di
informativa di cui all’art. 10 della legge 31 dicembre 1966, n.
675;
b) ad avviare il procedimento per l’applicazione delle ulteriori
sanzioni amministrative previste dal d.lgs. n. 185/1999;
TUTTO CIÒ
PREMESSO IL GARANTE:
1. ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre
1996, n. 675, vieta l’ulteriore trattamento illecito di dati personali
realizzato a scopi di invio di materiale pubblicitario o di vendita diretta,
ovvero per il compimento di ricerche di mercato o di comunicazione commerciale
interattiva, effettuato in violazione delle disposizioni sopra richiamate
da parte dei soggetti cui si riferiscono le segnalazioni e i reclami pervenuti;
2. ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre
1996, n. 675, segnala ai titolari del trattamento di cui agli atti del
procedimento la necessità di conformare i trattamenti di dati personali
ai principi richiamati nel presente provvedimento.
Roma, 29 maggio 2003
|