Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

La linea sottile tra marketing e spam: il problema relativo alla protezione dei dati personali

Scritto da Alessia Oliviero

Le comunicazioni d'impresa di nuova generazione hanno individuato nelle reti telematiche moderni e più efficaci mezzi di pubblicità, non sempre pienamente rispettosi della privacy dei destinatari. Le modalità attraverso cui è possibile utilizzare il web come veicolo promozionale sono essenzialmente tre: l'e-mail marketing, consistente nell'invio di messaggi pubblicitari e commerciali mediante posta elettronica; i banners, consistenti in inserzioni pubblicitarie all'interno di siti web; i newsgroups, spazi non ufficialmente dedicati alla promozione commerciale ma idonei ad essere utilizzati anche a tal fine.

Negli ultimi anni, le e-mail marketing sono diventate sempre più aggressive, dando luogo all'ormai noto fenomeno dello spamming. Non è un caso, dunque, che si parli di spam per indicare l'invio di e-mail a scopo di marketing ad un numero indefinito di destinatari, allorquando gli stessi non abbiano espresso alcun tipo di consenso in merito all'utilizzo del proprio indirizzo di posta elettronica per fini promozionali.

Senza dubbio lo spamming rappresenta uno strumento efficace di diffusione per gli operatori del mercato che intendano pianificare operazioni di marketing nei confronti degli internauti, consistendo in una modalità di promozione economica idonea a raggiungere un grande bacino di utenti, con costi praticamente pari a zero. Non può tuttavia sottovalutarsi l'attitudine del fenomeno in questione ad incidere in maniera negativa sulla sfera privata dei destinatari: nella gran parte dei casi gli stessi ignorano che la propria e-mail sia stata indebitamente carpita dagli spammers i quali, intanto, avranno già verosimilmente provveduto ad intasare le loro caselle di posta elettronica con del materiale indesiderato.

La questione giuridica sottesa a tale fattispecie consiste nella ricerca di un equilibrio tra il diritto delle imprese all'informazione commerciale sui prodotti e sui servizi offerti, quale manifestazione della più ampia libertà di iniziativa economica privata, sancita dall'art. 41 della Costituzione, ed il diritto del cittadino alla tutela della sicurezza e della riservatezza dei propri dati personali.

A fronte dell'insufficienza degli strumenti normativi classici a circoscrivere e regolare questo nuovo fenomeno, nonché in virtù del crescente numero di ricorsi, reclami e segnalazioni pervenuti alla stessa Autorità, il Garante della privacy ha ritenuto opportuno emanare delle "linee guida in materia di attività promozionali e contrasto alle comunicazioni non sollecitate (spam)".

L'intento è stato quello di fornire delle indicazioni pratiche ad operatori ed utenti su come affrontare le delicate questioni che si pongono nello svolgimento delle attività di marketing, alla luce del mutato quadro normativo nazionale e comunitarioe dello scenario tecnologico che, in tempi recenti, ha visto nascere nuove e sempre più aggressive modalità di comunicazione dei messaggi promozionali.

Fra questi, è la stessa Autorità a segnalare: il "marketing virale", consistente in informazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi, spesso situati all'estero e non agevolmente individuabili; il "marketing mirato", basato sull'uso di meccanismi di profilazione dell'utente; il "social spam", costituito da un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online (Facebook, WhatsApp, Skype, etc.)

Il Garante stabilisce che è vietato inviare e-mail a contenuto promozionale senza il preventivo consenso del destinatario e che, ad ogni modo, tale invio debba conformarsi ad una serie di requisiti, primo tra tutti quello relativo ad una chiara indicazione del mittente e dell'indirizzo presso cui il destinatario può rivolgersi per ottenere l'eventuale cessazione delle comunicazioni e la cancellazione dei propri dati dalle liste utilizzate per l'inoltro dei contenuti pubblicitari.

Il solo fatto che gli indirizzi e-mail e gli altri dati personali degli utenti siano facilmente reperibili sul web non autorizza a servirsene liberamente e per qualsiasi scopo. Anzi, un utilizzo massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento in rete al fine di ricevere, esaminare e selezionare, tra i diversi messaggi, quelli attesi o ricevibili. Non vanno inoltre trascurati i costi sostenuti per il collegamento telefonico (incrementati da messaggi di dimensioni rilevanti, che rallentano tali operazioni), nonché per la predisposizione di "filtri" idonei a verificare la presenza di virus nei messaggi.

Nell'ordinamento italiano, le comunicazioni indesiderate sono regolamentate dall'art. 130 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), che ha ratificato l'art. 13 della Direttiva 2002/58/CE, adeguandosi al principio dell'opt-in, relativo al consenso preventivo. L'inosservanza delle disposizioni ivi disciplinate, ovvero la mancata raccolta del consenso all'utilizzo dell'indirizzo di posta elettronica per l'invio di messaggi commerciali o promozionali, espone il titolare del trattamento alla severa sanzione di cui all'art. 167 dello stesso Codice. Affinché vi sia la completa configurazione del reato in questione, oltre alle circostanze delineate dall'art. 130, occorre la finalità di trarre un profitto o di arrecare ad altri un danno, nonché l'esistenza di un nocumento.

Ben consapevole delle difficoltà interpretative in materia, la Corte di Cassazione si è pronunciata sull'imprescindibile rapporto intercorrente tra il fenomeno dello spamming ed il reato di illecito trattamento di dati personali (Cass. Pen. Sez. III, n. 23798 del 24.5.2012). Nella vicenda in questione l'amministratore delegato ed il responsabile del trattamento dei dati di una società sono stati condannati, in concorso, per aver effettuato, al fine di trarne profitto, un trattamento di dati personali illecito. Tale violazione sarebbe avvenuta quando la società incriminata, avendo stipulato un contratto di concessione di spazi pubblicitari con un'altra società per la creazione di un sito al quale veniva abbinata una newsletter, dopo aver risolto unilateralmente il contratto, senza alcun consenso e senza informare gli iscritti della cessazione del rapporto, perpetuava nell'invio a questi ultimi di newsletter non richieste, continuando indebitamente a pubblicizzare i propri servizi.

Nello specifico, chiamata a decidere in ordine alla sussistenza del nocumento di cui all'art. 167 d.lgs. 196/2003, derivante dall'invio dei contenuti pubblicitari, la Corte ha stabilito che lo stesso non deve necessariamente essere di tipo economico, potendo inoltre consistere "nella perdita di tempo nel vagliare email indesiderate e nelle procedure da seguire per evitare ulteriori invii". In tal senso, i giudici hanno precisato che il nocumento non debba per forza sostanziarsi in una deminutio patrimonii, potendo identificarsi anche nel semplice fastidio ravvisabile nell'inutile dispendio di tempo dedicato alla cancellazione della pubblicità "spazzatura".

A fronte delle considerazioni appena fatte, non c'è alcun dubbio sull'attitudine dello spamming a ledere in maniera sempre più incisiva diversi diritti tutelati dal nostro ordinamento, tra i quali spicca la protezione dei dati personali. Non è un caso, dunque, che tale fenomeno sia sempre più spesso oggetto di attenzione da parte degli operatori del diritto e che, in virtù della mancanza di una disciplina ad hoc, si cerchi di sopperire attraverso l'irrinunciabile richiamo al Codice in materia di protezione dei dati personali e all'apparato sanzionatorio ivi previsto.

A questo aspetto se ne ricollega un altro che non può essere ignorato dall'interprete: la rete si sviluppa in un contesto libero, privo di barriere spazio-temporali, nel quale si assiste impotenti all'inarrestabile superamento della dimensione territoriale delle condotte e delle comunicazioni umane. Non è un problema di poco conto se si considerano gli inevitabili riverberi, in tema di competenza, nel caso di perpetuazione del reato in un Paese privo di un'adeguata disciplina o addirittura di qualsiasi forma di tutela. La questione è resa ancora più complessa dalla mancanza di una normativa uniforme a livello comunitario ed internazionale: basti pensare al diverso, quasi opposto, approccio alla materia da parte dell'UE e degli USA.

Il fenomeno dello spamming nasce e si sviluppa in modo esponenziale negli States prima di diffondersi nel resto del mondo, poiché proprio in America nasce Internet. In ragione di ciò, è facilmente osservabile come, mentre negli USA si rintracciano esempi di legislazione risalenti nel tempo, in Europa il problema si è avvertito soltanto di recente.

Gli Stati Uniti, che in passato si caratterizzavano per un complesso sistema di leggi statali che disciplinavano in modo autonomo la protezione contro lo spamming, sono giunti alla creazione di un'unica legge federale, il c.d. "Can-Spam Act of 2003", che ha uniformato il relativo trattamento giuridico in tutti gli Stati. In Europa, i singoli diritti nazionali preesistenti alla Direttiva 2002/58/CE offrivano soluzioni frammentate ed inefficaci al problema. Come noto però, per sua natura, la Direttiva riduce le diversità ma non le annulla completamente: il suo recepimento nei singoli Stati ha dato origine a fenomeni diversi tra loro, in ragione non solo delle scelte di policy dei legislatori nazionali, ma anche e soprattutto avuto riguardo alle differenze strutturali degli ordinamenti giuridici europei.

In linea generale si è detto che l'art. 13 della Direttiva disciplina le comunicazioni indesiderate stabilendo il principio dell'opt-in, ovvero del consenso preventivo da parte dell'interessato. Diversamente, la normativa americana non proibisce di per sé l'invio di e-mail indesiderate, ma prevede che gli operatori commerciali rimuovano dalle proprie liste i consumatori che ne facciano successivamente richiesta. E' a tal fine necessario che l'e-mail contenga un apposito indirizzo ed un meccanismo di opt-out che consenta al destinatario, entro i trenta giorni successivi alla ricezione del messaggio, di opporsi ad ulteriori invii.

Questa impostazione ha generato innumerevoli critiche, risultando addirittura idonea ad incoraggiare l'invio di spam, dal momento che ne consente la spedizione allorché il mittente sia semplicemente identificato in modo chiaro. Inoltre la conseguenza più evidente è l'assoluta mancanza di una tutela preventiva nei riguardi dei dati personali del destinatario dell'e-mail, i quali potranno essere oggetto di utilizzo da parte degli spammers, prima che gli interessati possano esprimere il loro consenso a tal proposito.

In ragione del fatto che statistiche ufficiali dimostrano che una rilevante percentuale di spam viene prodotta proprio negli Stati Uniti, l'inefficienza della normativa americana in materia si ripercuote in modo sfavorevole anche nel resto del mondo, Italia compresa. Il rischio più grave è che l'invio di comunicazioni commerciali indesiderate dagli USA non possa in alcun modo essere sanzionato ai sensi dell'art. 167 d.lgs. 196/2003, in virtù della mancanza di accordi e di regole comuni ai due sistemi. Se, da un lato, si auspica che l'Europa faccia propria l'esperienza americana, perseguendo l'obiettivo di una normativa comune per tutti gli Stati, così da impedire che l'esponenziale crescita del fenomeno conduca le Corti nazionali ad orientarsi in maniera differente tra loro, con inevitabili pericoli per la tutela dei consumatori e degli utenti, ma anche dei fornitori di prodotti e servizi; dall'altro lato bisognerebbe riflettere sulle profonde differenze esistenti tra i due sistemi analizzati, al fine di cercare una soluzione che travalichi i confini territoriali per il bene degli internauti, così da rendere perseguibile la condotta di spamming sempre e comunque.