E’ capitato a tutti, almeno una volta, di ricevere nella propria casella di posta elettronica una email pubblicitaria di uno specifico prodotto o servizio e di non ricordarsi di aver autorizzato quella determinata azienda a inviarci offerte e promozioni.

Lo spam, vale a dire la ricezione di posta indesiderata, è ormai un fenomeno capillare e pervasivo che riguarda tutti e contro i quali i filtri anti-spam dei principali servizi di posta elettronica sembrano riuscire a fare davvero poco per prevenirlo totalmente.

Al di là del fastidio di vedere la propria casella di posta letteralmente invasa da email pubblicitarie esiste un altro problema, molto più importante, sul quale è necessario interrogarsi; chi ha autorizzato queste società a utilizzare i nostri dati personali? Esiste un modo per difendere la propria privacy in un epoca in cui i nostri dati sono sempre più spesso esposti al rischio di sottrazione o di uso illecito? C’è una legge sulle email pubblicitarie grazie alla quale difendersi?

Una questione spinosa, della quale non ha mancato di occuparsi il Garante per la protezione dei dati personali, nel corso degli anni “travolto” da una serie di segnalazioni e di reclami di utenti stanchi di vedere indebitamente utilizzati i propri indirizzi email per finalità pubblicitarie e promozionali.

Legge sulle email pubblicitarie: le premesse

Nel 2003, a seguito delle numerose denunce di cittadini, il Garante per la protezione dei dati personali, e l’allora presidente  Prof. Stefano Rodotà, decise di prendere posizione sulla questione adottando un testo, “Spamming. Regole per un corretto invio delle e-mail pubblicitarie” con il quale si è cercato di fare chiarezza sulla questione e di stabilire alcuni principi di base.

Il testo espone innanzitutto le premesse che hanno portato alla sua definizione, cercando di delineare le diverse casistiche dei reclami pervenuti nel tempo allo stesso Garante. Questi ultimi riguardavano in primo luogo la ricezione da parte degli utenti di email pubblicitarie, promozionali, di informazione commerciale o di vendita diretta, senza che gli interessati avessero espresso precedentemente il proprio consenso.

Non solo, gli utenti segnalavano anche come qualunque tentativo di cancellazione del proprio indirizzo email da questi “elenchi promozionali” fosse stato vano, lamentando, di conseguenza, una serie di disagi ulteriori come la ricezione costante di messaggi analoghi, di messaggi anonimi ( o prive dell’indicazione di un indirizzo), o di email delle quali era impossibile accertare la veridicità delle informazioni fornite.

Sempre nel preambolo del testo si legge di come il Garante abbia avviato un’attività di assistenza per i cittadini colpiti da questo fenomeno, impegnandosi al contempo ad adottare specifici divieti e  ad applicare le relative sanzioni amministrative (con trasmissione degli atti all’autorità giudiziaria penale nel caso in cui era possibile configurare un reato) in seguito all’accettazione dei ricorsi.

Un “servizio” di assistenza e di tutela che l’Autorità ha ampliato prevedendo anche dei controlli, in collaborazioni con le forze di polizia, presso fornitori di servizi e altri titolari del trattamento, al fine di accertare l’esistenza di eventuali violazioni, come la non rispondenza dei trattamenti dei dati alla normativa.

Una serie di “misure” importanti ma non sufficienti contro un fenomeno sempre più dilagante che portò quindi il Garante all’adozione di un provvedimento generale nel quale si davano precise indicazioni agli operatori del settore, al fine di consentire loro di conformarsi alla disciplina generale sull’uso dei dati personali, con particolare riferimento al comparto delle comunicazioni.

Legge sulle email pubblicitarie: quando la pubblicità è lecita

Nel testo del provvedimento, il Garante cerca innanzitutto di fare chiarezza sull’invio lecito di email pubblicitarie, precisando subito come questo tipo di comunicazione sia da considerarsi possibile e legittima solo nel caso in cui il destinatario abbia fornito precedentemente il proprio consenso “libero, specifico e informato”.

Le email, infatti, contengono dati personali che possono essere tratti solo nel rispetto della normativa vigente in materia.

Questo significa che, sebbene gli indirizzi di posta elettronica siano oggi facilmente reperibili in rete, questi non possono essere utilizzati a scopi promozionali o pubblicitari senza specifico consenso.

In questa “casistica” rientrano numerosi esempi di “reperimento” di indirizzi di posta elettronica, dalla partecipazione a forum o blog di discussione alle “liste anagrafiche” di abbonati a un Internet provider, senza dimenticare gli indirizzi email pubblicati su un sito internet ( o quelli che è possibile reperire consultando gli elenchi di tutti coloro che hanno registrato un dominio).

Tutti gli indirizzi di questo tipo possono essere utilizzati solo per le specifiche e relative attività per le quali l’utente li ha inseriti e non possono in alcun modo senza consenso essere impiegati per email pubblicitarie, promozionali o di vendita.

Il Garante fa notare come l’uso illecito degli indirizzi di posta elettronica causi “una lesione ingiustificata dei diritti dei destinatari”, lesione configurabile non solo nel tempo impiegato per selezionare i messaggi attesi da quelli indesiderati, ma anche nell’adozione di sistemi di filtri più scrupolosi, capaci anche di riscontrare la presenza di virus, senza contare il rallentamento del servizio di posta causato, ad esempio, dalla ricezione di numerose email di grandi dimensioni.

Legge sulle email pubblicitarie: il principio del consenso

Nell’ambito del provvedimento, il Garante fornisce importanti chiarimenti anche in relazione al principio del consenso, evidenziato innanzitutto come la legge stabilisca i casi in cui tale consenso è necessario e i casi in cui è invece possibile prescinderne (artt. 10, 11, 12 e 20 legge 675).

Nel dettaglio l’autorità chiarisce come, ai sensi degli articoli sopracitati, il consenso non sia necessario solo nei casi di “pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico”.

Ne consegue, dunque, che tutti gli indirizzi email reperibili in rete per condizioni di mera opportunità, come la raccolta su portali web, le mailing-list, l’utilizzo di software per la reperibilità degli indirizzi, non possano rientrare nelle disposizioni per l’esclusione del consenso, in quanto non sono soggetti a un regime giuridico di piena riconoscibilità da parte di tutti.

Nel provvedimento si ribadisce quindi che le email, in quanto contenenti dati personali, possano essere utilizzate a fini pubblicitari solo con consenso documentato per iscritto, espresso in maniera libera, esplicita e differenziata in relazione “alle finalità e alle categorie di servizi e prodotti offerti”.

Su questa scia, quindi, il Garante promuove e incoraggia l’attività di tutte quelle aziende che ottengono in maniera lecita e valida il consenso degli utenti, inoltrando anche una comunicazione volto a ribadire la “volontà” dell’utente e ad annunciare il successivo inoltro delle email pubblicitarie.

Per tutti quei casi in cui, invece, il consenso non è stato espresso, l’autorità prefigura un trattamento illecito dei dati che in base ai singoli casi comporta l’adozione di sanzioni amministrative pecuniarie.

Sempre in relazione al consenso, nel testo si chiarisce che il consenso ha “un connotato autorizzato positivo”, il che significa che un eventuale silenzio dell’interessato non può essere considerato come tacito assenso all’invio di messaggi pubblicitari (non vale quindi la regola del silenzio-assenso).

Legge sulle email pubblicitarie: messaggi a propri clienti e per conto terzi

Il Garante non manca poi di affrontare la questione relativa all’invio di messaggi pubblicitari da parte di aziende con le quali un utente ha già stabilito un rapporto di vendita sia di prodotti che di servizi.

In questa ipotesi si ritiene possibile l’invio di email volte a pubblicizzare altri prodotti, chiarendo però che è necessario informare tempestivamente il cliente e offrirgli la possibilità, sia al momento della raccolta dei dati che in occasione dell’invio di ogni messaggio, di rifiutare a priori l’uso “commerciale” dei propri dati (con la possibilità di obiettare anche in seguito).

Per quanto riguarda invece l’invio di email pubblicitarie per conto di terzi da parte di società specializzate che usano dei propri database, il Garante chiarisce come queste aziende (titolari o contitolari del trattamento) debbano conformarsi alle disposizioni relative all’informativa e al consenso esplicito.

Stesso discorso vale nel caso di acquisto di banche dati da parte di terzi i quali, prima di utilizzare gli indirizzi email contenuti, sono tenuti a verificare che ogni utente abbia chiaramente e validamente espresso il proprio consenso all’invio di materiale pubblicitario, inviando anche, al momento di registrazione dei dati, un messaggio che chiarisca al destinatario tutte le informazioni rese al momento della raccolta (art. 10 della legge 675).

Legge sulle email pubblicitarie: i diritti dei titolari dei dati

Di estrema importanza sono anche i chiarimenti che il Garante fornisce in relazione ai “diritti degli interessati” ai quali deve essere garantito in ogni momento la possibilità di esercitare i diritti che gli sono riconosciuti per legge (il diritto a sapere chi tratta i dati, il diritto a ottenere gratuitamente l’interruzione dell’uso dei dati per fini promozionali etc.).

Per quanto concerne la possibilità di far valere i diritti sopracitati, il Garante mette a disposizione un modello da inoltrare all’indirizzo del titolare o del responsabile del trattamento dei dati, mentre nel caso di email anonime il Garante chiarisce come sia già configurabile un uso illecito dei dati, essendo i mittenti obbligati a indicare in maniera chiara l’indirizzo, il soggetto, la fonte di provenienza del messaggio e l’oggetto della email, chiarendo che si tratta di una email pubblicitaria o commerciale.

Relativamente alla possibilità di redigere degli elenchi di utenti che hanno espresso il proprio consenso, l’Autorità ritiene positiva, se correttamente eseguita, la pratica di realizzare degli elenchi “settoriali” per le diverse tipologie di messaggi pubblicitari, auspicando però l’inserimento diretto degli stessi utenti del proprio indirizzo email in queste liste, oltre alla possibilità di cancellarsi dagli elenchi in qualunque momento.

Legge sulle email pubblicitarie: le email dall’estero

Una situazione particolare è rappresentata dalle email pubblicitarie provenienti dall’estero per le quali non è possibile applicare la legge italiana.

In questi casi, il Garante sottolinea come sia comunque possibile per i destinatari richiedere una verifica alle competenti autorità nazionali o rivolgersi, nel caso ad esempio di stati federali, alle competenti autorità pubbliche.

Nel testo si mette inoltre l’accento sul fatto che spesso queste email possano essere utilizzate anche per perpetrare dei reati; in questi casi si ritiene che il reato sia stato commesso in territorio italiano, anche se la violazione è avvenuta all’estero, nel caso in cui le conseguenze che ne derivano si verificano in Italia.

Legge sulle email pubblicitarie: le conclusioni

Alla luce di quanto chiarito all’interno del provvedimento, il Garante giunge a due fondamentali “conclusioni”.

In primo luogo viene fatto divieto di utilizzare i dati personali per finalità promozionali, commerciali o di vendita diretta, applicando questa disposizione anche alle ricerche di mercato, nei casi in cui tali comunicazioni vengano effettuate nel non rispetto delle norme precedentemente citate.

In secondo luogo, l’autorità segnala a tutti i titolari del trattamento dei dati la necessità di adeguarsi ai principi richiamati nel testo del provvedimento.

Con questo provvedimento il Garante ha quindi cercato di fornire una tutela a tutti gli utenti, mettendo in campo delle disposizioni e una legge sulle email pubblicitarie chiare e abbastanza vincolanti, nel tentativo di arginare un fenomeno sempre più pervasivo e che impone di trovare un bilanciamento tra il diritto alla privacy e le nuove forme di comunicazione della rete.