Lo spam: evitare è meglio

di Rocco Gianluca Massa

scritto il

Una panoramica sul fenomeno e i punti cardine per una condotta aziendale "no-spam"

Il fenomeno dello spam, quale invio di messaggi pubblicitari indesiderati, ha assunto ormai una valenza indiscutibile nel nostro modo di vivere la Rete. Alla base di questa prepotente collocazione vi è, senza dubbio, la struttura stessa di Internet, che permette di compiere un gran numero di attività -lecite o illecite- senza lasciarne tracciare l’origine e l’autore, e più in generale l’evoluzione tecnologica, che permette agli spammers di affinare le tecniche di invio dei messaggi, eludendo i controlli più avanzati da parte di Internet Service Providers e clients di posta elettronica.

Certo, se l’origine della parola spam potrà apparire ormai ben definita (la genesi del fenomeno risalirebbe addirittura a oltre un secolo fa, mentre il termine sarebbe stato ufficializzato per la prima volta in una commedia televisiva britannica) tentare di riassumerne le tipologie è oggi sempre più arduo; questo perchè a fianco alla forma classica (invio tramite email), lo sviluppo dell’ICT e la volontà degli spammers di far arrivare “sempre e comunque” il messaggio pubblicitario al destinatario, hanno generato varianti di spam sempre più aggressive e poliedriche in grado di raggiungere l’ignaro internauta mentre visita un sito web, consulta le SERP di un motore di ricerca, utilizza un determinato software, etc.

Di fronte al mare magnum di messaggi pubblicitari indesiderati e all’apparente pochezza di strumenti giuridici diretti ad arginarne il fenomeno, va precisato come l’Italia, al pari di pochi altri Paesi europei, presenti un corpus normativo ed attuativo degno di nota, diretto a regolamentare, ridurre e prevenire il fenomeno dello spam, dettando efficaci codici di condotta per tutti i soggetti (imprese, call center etc.) che interagiscono ogni giorno con i dati dei consumatori e, più in generale, degli utenti.

La “regolamentazione” di cui sopra, tuttavia, è efficace contro lo spam nostrano, quello made in Italy, dal momento che per quello proveniente dall’estero, a parte le iniziative sorte nell’ambito di alcune organizzazioni internazionali come l’Unione Europea e l’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), l’unico strumento di tutela realmente efficace è costituito proprio dalla ricerca informatica e dall’introduzione di nuove tecnologie dirette all’individuazione ed eliminazione dello spam.

Per quanto concerne le principali fonti normative che in Italia prevedono e regolamentano l’invio di comunicazioni commerciali indesiderate, di notevole rilievo è senza dubbio il D.Lgs. 30 giugno 2003 n.196 sulla protezione dei dati personali; le disposizioni in esso contenute che interessano l’inoltro di messaggi pubblicitari indesiderati, sono molteplici sia dal lato impresa che consumatore. Le più significative restano ad ogni modo quelle di cui agli artt. 7, 8, 9 e 10 che sanciscono i diritti del soggetto interessato a conoscere la fonte di provenienza dei propri dati personali, le finalità a cui sono destinati e il titolare e il responsabile preposti al trattamento dei medesimi.

Norme che riconoscono comunque all’interessato la possibilità di richiedere l’aggiornamento o la cancellazione di detti dati o di opporsi ad una gestione illegittima ed illecita degli stessi; istanze di fronte alle quali il titolare e il responsabile del trattamento (per le differenze terminologiche si rinvia il lettore a consultare l’art.4 e gli artt. 28 e 29 del Codice) non possono assumere una condotta negligente o libertina, essendo tenuti -anche di fronte ad una richiesta effettuata a mezzo posta elettronica- a fornire all’interessato un riscontro in tempi brevi (di regola 15 giorni, previsione di cui all’art. 146).

Sembrerebbe chiaro quanto contemplato dal Codice della Privacy, purtroppo non sono poche le circostanze in cui l’Authority è dovuta intervenire a seguito del silenzio o della recalcitranza di talune aziende, certe di poter ignorare le lamentele degli utenti spammati in quanto prive di legittimazione giuridica.

Uno step fondamentale, tuttavia, al fine di poter qualificare un soggetto come “spammer” è previsto dall’art.23 del decreto in oggetto, secondo cui il trattamento di dati personali (e nel novero dei dati personali rientra anche l’indirizzo email) da parte di privati o enti pubblici economici è ammesso solo con il consenso espresso dell’interessato, fermo restando il divieto in linea generale di diffondere e comunicare i dati di quest’ultimo a terzi.

La norma in oggetto va valutata comunque cum grano salis: vi sono infatti alcuni casi in cui il nostro ordinamento non richiede tale consenso, ipotesi di cui tra l’altro si sono avvalse talune società in passato per giustificare “vanamente” la propria condotta innanzi all’Authority (tra gli altri si vedano i due provvedimenti emanati dal Garante il 28 giugno e l’11 luglio 2007) e previste dall’art.24 e, indirettamente per l’ipotesi di cessione dei dati ad un secondo titolare a seguito di cessazione del trattamento da parte dell’originario titolare, dall’art.16 co.1 lett.b.

Al contempo è importante che i soggetti presso cui sono raccolti i dati personali ottemperino alle previsioni di cui agli artt.11 e ss. per quanto concerne la condotta e le modalità nel trattamento dei dati personali, predispongano l’apposita “informativa” di cui all’art.13 al momento dell’acquisizione degli stessi, adottino una serie di misure di sicurezza (artt. 31 e ss.) a tutela dell’interessato e a trasparenza dell’attività di trattamento, adeguandosi ai codici di deontologia e alle “linee guida” che l’Authority periodicamente promuove nei vari settori e pubblica sul proprio sito web. Principi ed indicazioni che di regola chi fa spam viola deliberatamente.

Se quelli visti rappresentano i punti cardine per una condotta aziendale “no-spam”, chi si avvale nello specifico di comunicazioni elettroniche (telefono, fax, posta elettronica, sms, mms etc.) per promuovere la propria attività, effettuare ricerche di mercato o vendere determinati beni o servizi, deve necessariamente godere del previo consenso del destinatario (art.130). Comportamento particolarmente stigmatizzato in questo senso è quello di talune società che pur di vendere il proprio bene o servizio (si pensi alle enoteche o alle agenzie di intermediazione immobiliare) contattano telefonicamente l’utenza con l’ausilio di un centralino automatizzato occultando il proprio numero telefonico. Su quest’ultimo “stratagemma” il Codice della Privacy prevede la possibilità per gli abbonati di richiedere alla compagnia telefonica la soppressione dell’opzione di “mascheramento” del numero di telefono e la conservazione dei dati relativi alla provenienza delle chiamate al fine di fornirli successivamente all’abbonato per consentirgli di tutelarsi nelle opportune sedi (art.127).

La disciplina concernente l’invio di comunicazioni commerciali indesiderate nel nostro ordinamento non è circoscritta tuttavia al solo D.Lgs.n.196 del 2003 ed i richiami ad una attività pubblicitaria non invasiva o lesiva nei confronti di utenti e consumatori viene ormai richiamata e sanzionata in più contesti. Si pensi al D.Lgs. 9 aprile 2003 n.70 di attuazione della Direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno (c.d. Direttiva sul commercio elettronico) che per le comunicazioni commerciali effettuate via Internet prevede all’art.8 che le stesse contengano in maniera chiara ed inequivocabile una specifica informativa diretta a evidenziare al destinatario:

  1. che si tratta di comunicazione commerciale;
  2. la persona fisica o giuridica per conto della quale e’ effettuata la comunicazione commerciale;
  3. che si tratta di un’offerta promozionale come sconti, premi, o omaggi e le relative condizioni di accesso;
  4. che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione.

Il successivo art.9 contiene, inoltre, un esplicito riferimento alle comunicazioni commerciali non sollecitate, trasmesse da chi presta un servizio della società dell’informazione per posta elettronica. Esse devono essere identificate come tali in modo chiaro e inequivocabile fin dal momento in cui il destinatario le riceve, con l’espressa indicazione per quest’ultimo di opporsi al ricevimento futuro di ulteriori comunicazioni.

Per un quadro più completo in merito alle possibili eccezioni valevoli per le norme citate, si rinvia il lettore a consultare la fonte normativa in oggetto.

Al pari del D.Lgs.n.70 del 2003 anche il Decreto Legislativo 1 agosto 2003, n. 259 (c.d. Codice delle comunicazioni elettroniche) contiene un preciso riferimento a quell’attività illecita qualificabile come spam. In tal caso la previsione (art.70 co.5) è rivolta anche a coloro che ne favoriscono il dilagare, allorquando, in un contratto stipulato tra il fornitore di un servizio di comunicazione elettronica (operatore, gestore, provider, etc.) e l’utente finale che ne fa uso, quest’ultimo "dia modo ad altri di utilizzare il servizio per effettuare comunicazioni o attività contro la morale o l’ordine pubblico o arrecare molestia o disturbo alla quiete privata”.

Il legislatore, tuttavia, ponendo particolare attenzione alla figura del consumatore ha inserito disposizioni specifiche relative al fenomeno in oggetto anche in atti normativi dedicati più direttamente al business to consumer. E’ il caso del D.Lgs. 6 settembre 2005, n. 206, che all’art.58 prevede per i professionisti (interessati a vendere beni o servizi al consumatore) l’impiego di tecniche di comunicazione a distanza quali telefono, posta elettronica, fax, sistemi automatizzati di chiamata senza l’intervento di un operatore, etc., solo se vi è il consenso preventivo del destinatario/consumatore.

Non è da meno il Decreto Legislativo 19 agosto 2005, n. 190 (dal novembre 2007 confluito nel Codice del consumo) di attuazione della Direttiva 2002/65/CE relativa alla commercializzazione a distanza di servizi finanziari ai consumatori, che impone al fornitore oltre ai normali doveri di informazione e trasparenza nei confronti del consumatore, l’obbligo -ex art.8- per le chiamate mediante telefonia vocale dirette alla vendita dei servizi in oggetto, di rivelare la propria identità e il fine commerciale delle stesse in maniera inequivoca all’inizio di qualsiasi conversazione con il consumatore. Oltre a ciò l’art.15 condiziona l’utilizzo da parte del fornitore di tecniche di “comunicazione a distanza” nella propria attività di vendita (quali sistemi di chiamata automatizzati senza l’intervento di un operatore e fax) al previo consenso del consumatore.

Un ultimo richiamo al divieto di spam è contenuto nel D.Lgs. 2 agosto 2007, n. 146 di attuazione della Direttiva 2005/29/CE relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno, che -salvo talune ipotesi- considera all’art.26 co.1. lett.c tra le pratiche commerciali aggressive quella di «effettuare ripetute e non richieste sollecitazioni commerciali per telefono, via fax, per posta elettronica o mediante altro mezzo di comunicazione a distanza […]», definendo all’art.24 tali tipologie di pratiche quelle che “tenuto conto di tutte le caratteristiche e circostanze del caso, mediante molestie, coercizione, compreso il ricorso alla forza fisica o indebito condizionamento, limita o e’ idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, lo induce o e’ idonea ad indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”.

Dalla rassegna normativa appena vista emerge con chiarezza l’interesse del legislatore nazionale a tutelare i cittadini dalle comunicazioni commerciali indesiderate; l’intento è ancora più evidente ove si considerino le sanzioni previste dalle succitate fonti normative nel caso di violazione delle norme richiamate e le possibilità di tutela da talune di esse offerte: amministrativa e giurisdizionale.

Nulla esclude inoltre che l’attività svolta dallo spammer integri una condotta penalmente rilevante, ed eloquente in tal senso è l’art.167 del D.Lgs.n.196 del 2003 che prevede persino il reato di trattamento illecito di dati.

Per completezza, ma soprattutto viste la poliedricità e il concorso di fattispecie che possono caratterizzare i singoli casi di spam, si rinvia il lettore a consultare in maniera approfondita le previsioni sanzionatorie degli atti normativi di cui sopra; parimenti si raccomanda la lettura delle direttive “recepite” e dei relativi “considerando”, questi ultimi in molti casi chiave di lettura ed interpretazione delle norme “nostrane” dedicate all’argomento.